ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
ダイナミック アクセス ポリシーの設定
ダイナミック アクセス ポリシーの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/11/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

ダイナミック アクセス ポリシーの設定

VPN アクセス ポリシーについて

リモート アクセス接続タイプに対する DAP サポート

DAP と AAA

DAP とエンドポイント セキュリティ

DAP 接続シーケンス

[Tesy Dynamic Access Policies]

ダイナミック アクセス ポリシーの追加および編集

[Add/Edit AAA Attributes]

Active Directory グループの取得

エンドポイント アトリビュートの追加および編集

ガイド

Lua EVAL 式を作成する構文

DAP CheckAndMsg 関数

追加の Lua 機能

CheckAndMsg をカスタム関数で使用した例

Lua の詳細情報

[Operator for Endpoint Category]

DAP の例

ダイナミック アクセス ポリシーの設定

この章では、ダイナミック アクセス ポリシーを設定する方法を説明します。次の項目を取り上げます。

VPN アクセス ポリシーについて

ダイナミック アクセス ポリシーの追加および編集

[Add/Edit AAA Attributes]

Active Directory グループの取得

エンドポイント アトリビュートの追加および編集

[Operator for Endpoint Category]

DAP の例

VPN アクセス ポリシーについて

VPN ゲートウェイは、ダイナミックな環境で動作します。各 VPN 接続は、頻繁に変更されるイントラネット コンフィギュレーション、組織内で各ユーザが所属するさまざまな役割、コンフィギュレーションとセキュリティ レベルが異なる遠隔地のアクセス サイトからのログインなど、複数の変数の影響を受ける可能性があります。VPN 環境での認可ユーザのタスクは、スタティック コンフィギュレーションのネットワークで作業するユーザのタスクよりもかなり複雑です。

セキュリティ アプライアンスでのダイナミック アクセス ポリシー(DAP)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションと関連付けるアクセス コントロール アトリビュートの集合を設定することによって作成します。これらのアトリビュートにより、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまりセキュリティ アプライアンスは、定義されるポリシーに基づいて特定のセッションの特定のユーザにアクセス権を付与します。セキュリティ アプライアンスは、ユーザが接続するときに、1 つ以上の DAP レコードからアトリビュートを選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。

DAP システムには、注意を必要とする次のコンポーネントがあります。

DAP 選択コンフィギュレーション ファイル:セッション確立中に DAP レコードを選択および適用するためにセキュリティ アプライアンスが使用する、基準が記述されたテキスト ファイル。セキュリティ アプライアンスに保存されています。ASDM を使用して、このファイルを変更したり、XML データ形式でセキュリティ アプライアンスにアップロードしたりできます。DAP 選択コンフィギュレーション ファイルには、ユーザが設定するすべてのアトリビュートが記載されています。たとえば、AAA アトリビュート、エンドポイント アトリビュート、ネットワーク ACL と Web-type ACL のフィルタで設定されるアクセス ポリシー、ポート転送リスト、および URL リストなどがあります。

DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは 0。デフォルト アクセス ポリシーのアクセス ポリシー アトリビュートを設定できますが、AAA またはエンドポイントのアトリビュートは含まれておらず、それらのアトリビュートは設定できません。DfltAccessPolicyは、削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。

ダイナミック アクセス ポリシーの詳細については、次の項を参照してください。

リモート アクセス接続タイプに対する DAP サポート

DAP と AAA

DAP とエンドポイント セキュリティ

DAP 接続シーケンス

[Tesy Dynamic Access Policies]

DAP の例

ダイナミック アクセス ポリシーの設定

図 37-1 は [Dynamic Access Policies] ペインを示します。

図 37-1 [Dynamic Access Policies ASDM] ペイン

 

ダイナミック アクセス ポリシーを設定するには、ASDM の [Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] ペインで、次の手順を実行します。


ステップ 1 特定のアンチウイルス、アンチスパイウェア、またはパーソナル ファイアウォール エンドポイントの各アトリビュートを含めるには、ペインの最上部近くの [CSD configuration] リンクをクリックします。次に、Cisco Secure Desktop および Host Scan の拡張機能をイネーブルにします。このリンクは、これら両方の機能をすでにイネーブルにしている場合には表示されません。

Cisco Secure Desktop 拡張機能をイネーブルにして Host Scan 拡張機能はイネーブルにしない場合、変更を適用すると、ASDM は Host Scan コンフィギュレーションをイネーブルにするリンクを表示します。

ステップ 2 新しいダイナミック アクセス ポリシーを作成するには、 [Add] をクリックします。既存のポリシーを変更するには、 [Edit] をクリックします。

ステップ 3 すでに設定済みのポリシーをテストするには、 [Test Dynamic Access Policies] をクリックします。


 

フィールド

[Priority]:DAP レコードのプライオリティを表示します。セキュリティ アプライアンスは、複数の DAP レコードからネットワーク ACL と Web-type ACL を集約するときに、この値を使用してアクセス リストを論理的に順序付けします。セキュリティ アプライアンスは、最上位のプライオリティ番号から最下位のプライオリティ番号の順にレコードを並べ、最下位のプライオリティをテーブルの一番下に配置します。番号が大きいほどプライオリティが高いことを意味します。たとえば、値が 4 の DAP レコードは値が 2 のレコードよりも高いプライオリティを持つことになります。プライオリティは、手動での並べ替えはできません。

[Name]:DAP レコードの名前を表示します。

[Network ACL List]:セッションに適用されるファイアウォール アクセス リストの名前を表示します。

[Web-Type ACL List]:セッションに適用される SSL VPN アクセス リストの名前を表示します。

[Description]:DAP レコードの目的を説明します。

[Test Dynamic Access Policies] ボタン:設定済みの DAP レコードをテストします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

リモート アクセス接続タイプに対する DAP サポート

DAP システムは、次のリモート アクセス方式をサポートします。

IPsec VPN

クライアントレス(ブラウザベース)SSL VPN

Cisco AnyConnect SSL VPN

PIX カットスルー プロキシ(ポスチャ評価は使用不可)

DAP と AAA

DAP は AAA のサービスを補完する働きがあります。限られた数の認可アトリビュートのセットが用意されており、それらのアトリビュートは AAA によって提供される認可アトリビュートを無効にできます。セキュリティ アプライアンスは、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。セキュリティ アプライアンスは、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可アトリビュートを作成します。

AAA アトリビュートは、Cisco AAA アトリビュート階層から、またはセキュリティ アプライアンスが RADIUS または LDAP サーバから受信する一式の応答アトリビュート セットから指定できます。DAP と AAA の詳細は、「[Add/Edit AAA Attributes]」の項を参照してください。

AAA アトリビュートの定義

表 37-1 に、DAP で使用可能な AAA 選択アトリビュート名の定義を示します。アトリビュート名フィールドは、Lua 論理式での各アトリビュート名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] セクションで使用します。

 

表 37-1 DAP で使用する AAA 選択アトリビュート

アトリビュート タイプ
アトリビュート名
ソース
最大文字列長
説明

Cisco

aaa.cisco.grouppolicy

AAA

ストリング

64

セキュリティ アプライアンス上にある、または RADIUS/LDAP サーバから IETF-CLass (25) アトリビュートとして送信されたグループ ポリシー名

aaa.cisco.ipaddress

AAA

数値

-

フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect)

aaa.cisco.tunnelgroup

AAA

ストリング

64

接続プロファイル(トンネル グループ)の名前

aaa.cisco.username

AAA

ストリング

64

認証されたユーザの名前(ローカル認証や認可を使用している場合に適用)

LDAP

aaa.ldap.< label >

LDAP

ストリング

128

LDAP アトリビュート値ペア

RADIUS

aaa.radius.<number>

RADIUS

ストリング

128

RADIUS アトリビュート値ペア

セキュリティ アプライアンスがサポートする RADIUS アトリビュートの一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS のアトリビュートと値 」を参照してください。

DAP とエンドポイント セキュリティ

セキュリティ アプライアンスは、設定するポスチャ評価方式を使用してエンドポイント セキュリティのアトリビュートを取得します。それらのアトリビュートには、Cisco Secure Desctop や NAC があります。詳細については、「ASDM」の「Cisco Secure Desktop」セクションを参照してください。 表 37-2 に、DAP がサポートしている各リモート アクセス プロトコル、その方式で使用可能なポスチャ評価ツール、およびそのツールによって提供される情報を示します。

 

表 37-2 DAP ポスチャ評価

リモート アクセス
プロトコル
Cisco Secure Desktop
Host Scan
NAC
Cisco NAC
アプライアンス

ファイル情報、レジストリ キーの値、実行プロセス、オペレーティング システムを返す

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール ソフトウェアの情報を返す

NAC ステータスを返す

VLAN タイプと VLAN ID を返す

IPsec VPN

--1

--

X

X

Cisco AnyConnect VPN

X

X

X

X

Clientless VPN

X

X

--

--

PIX Cut-through Proxy

--

--

--

--

1.-- は「いいえ」を、X は「はい」を示します。

エンドポイント アトリビュートの定義

表 37-3 に DAP で使用可能なエンドポイント選択アトリビュート名の定義を示します。アトリビュート名フィールドは、Lua 論理式での各アトリビュート名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] エリアで使用します。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

 

表 37-3 エンドポイント アトリビュートの定義

アトリビュート タイプ
アトリビュート名
ソース
最大文字列長
説明

Antispyware(Cisco Secure Desktop が必要)

endpoint.as[" label "].exists

Host Scan

true

--

アンチスパイウェア プログラムが存在する

endpoint.as[" label "].version

ストリング

32

バージョン

endpoint.as[" label "].description

ストリング

128

アンチスパイウェアの説明

endpoint.as[" label "].lastupdate

整数

--

アンチスパイウェア定義をアップデートしてからの経過時間(秒)

Antivirus

(Cisco Secure Desktop が必要)

endpoint.av[" label "].exists

Host Scan

true

--

アンチウイルス プログラムが存在する

endpoint.av[" label "].version

ストリング

32

バージョン

endpoint.av[" label "].description

ストリング

128

アンチウイルスの説明

endpoint.av[" label "].lastupdate

整数

--

アンチウイルス定義をアップデートしてからの経過時間(秒)

アプリケーション

endpoint.application.clienttype

アプリケーション

ストリング

--

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

File

endpoint.file[" label "].exists

Secure Desktop

true

--

ファイルが存在する

endpoint.file[" label "].lastmodified

整数

--

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file[" label "].crc.32

整数

--

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

ストリング

--

ユーザ定義ステータス文字列

オペレーティング システム

endpoint.os.version

Secure Desktop

ストリング

32

オペレーティング システム

endpoint.os.servicepack

整数

--

Windows 用サービス パック

Personal Firewall

(Secure Desktop が必要)

endpoint.fw[" label "].exists

Host Scan

true

--

パーソナル ファイアウォールが存在する

endpoint.fw[" label "].version

ストリング

32

バージョン

endpoint.fw[" label "].description

ストリング

128

パーソナル ファイアウォールの説明

Policy

endpoint.policy.location

Secure Desktop

ストリング

64

Cisco Secure Desktop からのロケーション値

Process

endpoint.process[" label "].exists

Secure Desktop

true

--

プロセスが存在する

endpoint.process[" label "].path

ストリング

255

プロセスのフル パス

Registry

endpoint.registry[" label "].type

Secure Desktop

dword
ストリング

--

dword

endpoint.registry[" label "].value

ストリング

255

レジストリ エントリの値

VLAN

endoint.vlan.type

CNA

ストリング

--

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、設定済みの AAA アトリビュートとエンドポイント アトリビュートにユーザ アトリビュートが一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop の Prelogin Assessment モジュールと Host Scan モジュールは、設定済みエンドポイント アトリビュートについての情報をセキュリティ アプライアンスに返し、DAP システムでは、その情報に基づいてそれらのアトリビュート値に一致する DAP レコードを選択します。

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラムのほとんど(すべてではなく)は、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。Host Scan は、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを次のようにしてチェックします。

インストール済みプログラムがアクティブ スキャンをサポートしない場合、Host Scan はそのソフトウェアの存在を報告します。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

インストール済みプログラムがアクティブ スキャンをサポートしていて、そのプログラムでアクティブ スキャンがイネーブルになっている場合、Host Scan はそのソフトウェアの存在を報告します。この場合もセキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

インストール済みプログラムがアクティブ スキャンをサポートしていて、そのプログラムでアクティブ スキャンがディセーブルになっている場合、Host Scan はそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、DAP についての情報を多く含む debug trace コマンドの出力では、そのプログラムがインストールされているとしても、プログラムの存在は示されません。

DAP 接続シーケンス

次のシーケンスは、標準的なリモート アクセス接続を確立する場合の概要を示しています。

1. リモート クライアントが VPN 接続を試みます。

2. セキュリティ アプライアンスは、設定された NAC 値と Cisco Secure Desktop の Host Scan 値を使用してポスチャ評価を実行します。

3. セキュリティ アプライアンスが、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可アトリビュートも返します。

4. セキュリティ アプライアンスが、AAA 認可アトリビュートをそのセッションに適用し、VPN トンネルを確立します。

5. セキュリティ アプライアンスが、AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

6. セキュリティ アプライアンスが、選択した DAP レコードから DAP アトリビュートを集約します。集約されたアトリビュートが DAP ポリシーを構成します。

7. セキュリティ アプライアンスがその DAP ポリシーをセッションに適用します。

[Tesy Dynamic Access Policies]

図 37-2 は [Test Dynamic Access Policies] ペインを示します。

図 37-2 [Test Dynamic Access Policies] ペイン

 

このペインでは、認可アトリビュート値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。アトリビュート値のペアを指定するには、[AAA Attribute] テーブルと [Endpoint Attribute] テーブルに関連づけられた [Add/Edit] ボタンを使用します。[Add/Edit] ボタンをクリックすると表示されるダイアログは、[Add/Edit AAA Attributes] ウィンドウと [Add/Edit Endpoint Attributes] ダイアログボックスに表示されるダイアログに似ています。

アトリビュート値のペアを入力して [Test] ボタンをクリックすると、デバイスの DAP サブシステムは、各レコードの AAA およびエンドポイントの選択アトリビュートを評価するときに、これらの値を参照します。結果は、[Test Results] テキスト領域に表示されます。

フィールド

[Selection Criteria]:ダイナミック アクセス ポリシーを取得するときにテストする AAA アトリビュートとエンドポイント アトリビュートを決定します。

[AAA Attributes]

[AAA Attribute]:AAA アトリビュートを特定します。

[Operation Value]:アトリビュートを指定された値に対して =/!= として指定します。

[Add/Edit]:AAA アトリビュートを追加または編集します。

[Endpoint Attributes]:エンドポイント アトリビュートを特定します。

[Endpoint ID]:エンドポイント アトリビュート ID を入力します。

[Name/Operation/Value]:

[Add/Edit/Delete]:エンドポイント アトリビュートを追加、編集、または削除します。

[Test Result]:テスト結果を表示します。

[Test]:設定したポリシーが取得されることをテストします。

[Close]:ペインを閉じます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

ダイナミック アクセス ポリシーの追加および編集

図 37-3 に、[Add Dynamic Access Policies] ペインを示します。

図 37-3 [Add/Edit Dynamic Access Policies] ペイン

 

ダイナミック アクセス ポリシーを追加または編集するには、次の手順を実行します。


ステップ 1 [Add/Edit Dynamic Access Policy] ペインの上部で、このダイナミック アクセス ポリシーの名前(必須)と説明(オプション)を入力します。

ステップ 2 [Priority] フィールドで、そのダイナミック アクセス ポリシーのプライオリティを設定します。セキュリティ アプライアンスは、ここで設定される順序に従ってアクセス ポリシーを適用します。最も大きな番号のプライオリティが最上位のプライオリティです。プライオリティの設定が同じで ACL ルールが競合する DAP レコードの場合は、最も制約の多いルールが適用されます。

ステップ 3 [Add/Edit AAA Attributes] フィールドの [ANY/ALL/NONE] ドロップダウン リスト(ラベルなし)を使用して、このダイナミック アクセス ポリシーを使用するために、ユーザは設定する AAA アトリビュート値のいずれかまたはすべてを必要とするのか、または一切不要なのかを選択します。

ステップ 4 AAA アトリビュートを設定するには、[AAA Attributes] フィールドの [Add/Edit] をクリックします。

ステップ 5 エンドポイント アトリビュートを設定する前に、CSD Host Scan を設定します。

ステップ 6 エンドポイント セキュリティ アトリビュートを設定するには、[Endpoint ID] フィールドの [Add/Edit] をクリックします。

ステップ 7 各タイプのエンドポイント アトリビュートのインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。エンドポイント アトリビュートごとにこの値を設定するには、 [Logical Op.] ボタンをクリックします。

ステップ 8 [Advanced] フィールドには、上の [AAA] 領域および [Endpoint] 領域で入力可能なアトリビュート以外の AAA またはエンドポイント アトリビュートを設定する論理式を 1 つ以上入力できます。

ステップ 9 ネットワーク ACL と Web-type ACL、ファイル ブラウジング、ファイル サーバ入力、HTTP プロキシ、URL 入力、ポート転送リスト、および URL リストを設定するには、[Access Policy Attributes] の各フィールドで値を設定します。


 

フィールド

[Policy Name]:4 ~ 32 文字の文字列。スペースは使用できません。

[Description]:(オプション)DAP レコードの目的を説明します。最大 80 文字です。

[Priority]:DAP のプライオリティを設定します。セキュリティ アプライアンスは、ここで設定される順序に従ってアクセス ポリシーを適用します。最も大きな番号のプライオリティが最上位のプライオリティです。有効値の範囲は 0 ~ 2147483647 です。デフォルトは 0 です。

[ANY/ALL/NONE] ドロップダウン リスト:ユーザ認可アトリビュートが、設定する AAA アトリビュートの値のいずれかまたはすべてに一致するか、あるいはいずれの値にも一致せず、同時にすべてのエンドポイント アトリビュートを満たすように要求する場合に設定します。エントリを重複させることはできません。AAA またはエンドポイント アトリビュートなしの DAP レコードを設定すると、セキュリティ アプライアンスは常にそのレコードを選択します。これは、そのレコードがすべての選択基準を満たすことになるからです。

[AAA Attributes]:設定された AAA アトリビュートを表示します。

[Attribute]:AAA アトリビュートの名前を表示します。

[Operation/Value]:=/!=

[Add/Edit/Delete]:選択した AAA アトリビュートを追加、編集、または削除します。

[Endpoint Attributes]:設定されたエンドポイント アトリビュートを表示します。

[Endpoint ID]:エンドポイント アトリビュートを識別します。

[Name/Operation/Value]:エンドポイント アトリビュートごとに設定されている値の概要を表示します。

[Add/Edit/Delete]:選択したエンドポイント アトリビュートを追加、編集、または削除します。


) Cisco Secure Desktop により、Application と NAC 以外のすべてのエンドポイント アトリビュートをセキュリティ アプライアンスに対して指定できます。他のすべてのエンドポイント アトリビュートを設定するには、まず Cisco Secure Desktop をイネーブルにし、そこで関連するエンドポイント アトリビュートも設定する必要があります。


[Logical Op.]:それぞれのタイプのエンドポイント アトリビュートのインスタンスを複数作成できます。ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを設定します。たとえば OS などの一部のエンドポイント アトリビュートでは、ユーザがアトリビュートのインスタンスを複数持つことはありません。

[Advanced]:ダイナミック アクセス ポリシーの追加アトリビュートを設定します。これは、Lua についての知識が要求される高度な機能です。

[AND/OR]:基本的な選択ルールと、ここで入力する論理式との関係を定義します。つまり、すでに設定されている AAA アトリビュートおよびエンドポイント アトリビュートに新しいアトリビュートを追加するのか、またはそれら設定済みのアトリビュートに置き換えるのかを指定します。デフォルトは AND です。

[Logical Expressions]:それぞれのタイプのエンドポイント アトリビュートのインスタンスを複数設定できます。新しい AAA またはエンドポイント選択アトリビュートを定義する自由形式の Lua を入力します。ASDM は、ここで入力されるテキストの検証を行わず、単にこのテキストを DAP XML ファイルにコピーします。セキュリティ アプライアンスがそれを処理し、解析不能な式があれば破棄します。

[Guide]:これらの論理演算の作成に関するオンライン ヘルプを表示します。

[Access Policy Attributes]:これらのタブにより、ネットワーク ACL と Web-type ACL のフィルタ、ファイル アクセス、HTTP プロキシ、URL エントリとリスト、ポート転送、およびクライアントレス SSL VPN アクセス方式のアトリビュートを設定できます。ここで設定するアトリビュート値は、既存のユーザ、グループ、トンネル グループ、およびデフォルトのグループ レコードを含め、AAA システムの認可値を上書きします。

[Action] タブ

[Action]:特定の接続またはセッションに適用する特殊な処理を指定します。

[Continue]:(デフォルト)セッションにアクセス ポリシー アトリビュートを適用します。

[Terminate]:セッションを終了します。

[User Message]:この DAP レコードが選択されるときに、ポータル ページに表示するテキスト メッセージを入力します。最大 128 文字です。ユーザ メッセージは黄色い球体で表示されます。ユーザがログオンすると、その球体が 3 回点滅して注意を喚起し、その後通常の表示に戻ります。数件の DAP レコードが選択され、それぞれにユーザ メッセージがある場合は、ユーザ メッセージがすべて表示されます。


) そのようなメッセージに URL や他の埋め込みテキストを含めることができますが、そのためには正しい HTML タグを使用する必要があります。

例:すべてのコントラクタは、ご使用のアンチウイルス ソフトウェアのアップグレード手順について、<a href='http://wwwin.abc.com/procedure.html'> Instructions</a> を参照してください。


[Network ACL Filters] タブ:この DAP レコードに適用するネットワーク ACL を選択および設定できます。DAP の ACL には、許可ルールまたは拒否ルールを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれている場合、セキュリティ アプライアンスはその ACL を拒否します。

[Network ACL] ドロップダウン リスト:この DAP レコードに追加する、すでに設定済みのネットワーク ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。

[Manage...]:ネットワーク ACL を追加、編集、および削除します。

[Network ACL] リスト:この DAP レコードのネットワーク ACL を表示します。

[Add]:ドロップダウン リストから選択したネットワーク ACL を右側の [Network ACLs] リストに追加します。

[Delete]:[Network ACLs] リストから、選択したネットワーク ACL を削除します。セキュリティ アプライアンスから ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Web-Type ACL Filters] タブ:この DAP レコードに適用する Web-type ACL を選択および設定できます。DAP の ACL には、許可または拒否ルールだけを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれている場合、セキュリティ アプライアンスはその ACL を拒否します。

[Web-Type ACL] ドロップダウン リスト:この DAP レコードに追加する、すでに設定済みの Web-type ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。

[Manage...]:Web-type ACL を追加、編集、および削除します。

[Web-Type ACL] リスト:この DAP レコードの Web-type ACL を表示します。

[Add]:ドロップダウン リストから選択した Web-type ACL を右側の [Web-Type ACLs] リストに追加します。

[Delete]:[Web-Type ACLs] リストから、選択した Web-type ACL を削除します。セキュリティ アプライアンスから ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Functions] タブ:ファイル サーバ入力とブラウジング、HTTP プロキシ、および DAP レコードの URL 入力を設定できます。

[File Server Browsing]:ファイル サーバまたは共有機能の CIFS ブラウジングをイネーブルまたはディセーブルにします。


) ブラウジングには NBNS(Master Browser または WINS)が必要です。NBNS が故障しているまたは設定されていない場合は、DNS が使用されます。

CIFS ブラウズ機能は、国際化をサポートしていません


[File Server Entry]:ポータル ページでユーザがファイル サーバのパスおよび名前を入力できるようにするか、または入力するのを禁止します。イネーブルなっている場合は、ポータル ページにファイル サーバ入力ドロワが配置されます。ユーザは、Windows のファイルに直接パス名を入力できます。ファイルのダウンロード、編集、削除、名前変更、移動ができます。ファイルとフォルダの追加もできます。適切な Windows サーバへのユーザ アクセスを行うために、共有も設定する必要があります。ネットワーク要件によっては、ファイルにアクセスする前に、ユーザの認証が必要になります。

[HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送に関与します。プロキシは、Java、ActiveX、Flash など、適切なコンテンツ トランスフォームと干渉する技術にとって役立ちます。セキュリティ アプライアンスの使用を継続しながら、マングリングをバイパスします。転送プロキシは、ブラウザの古いプロキシ設定を自動的に修正し、すべての HTTP および HTTPS 要求を新しいプロキシ設定にリダイレクトします。HTML、CSS、JavaScript、VBScript、ActiveX、Java など、実質的にすべてのクライアント サイド技術をサポートします。サポートされるブラウザは Microsoft Internet Explorer だけです。

[URL Entry]:ポータル ページでユーザが HTTP/HTTPS URL を入力できるようにするか、または入力できないようにします。イネーブルにすると、ユーザは URL 入力ボックスに Web アドレスを入力し、クライアントレス SSL VPN を使用してこれらの Web サイトにアクセスできます。

SSL VPN を使用するとしても、すべてのサイトとの通信がセキュアになるわけではありません。SSL VPN は、企業ネットワーク上のリモート ユーザの PC やワークステーションとセキュリティ アプライアンスとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のセキュリティ アプライアンスから目的の Web サーバまでの通信はセキュアではありません。

クライアントレス VPN 接続では、セキュリティ アプライアンスはエンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、セキュリティ アプライアンスはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザのブラウザは提示された SSL 証明書を受信しないため、この証明書を検証できません。現在の SSL VPN の実装では、有効期限が切れた証明書を提供するサイトとの通信は許可されません。また、セキュリティ アプライアンスは、信頼できる CA 証明書の検証も実行しません。そのためユーザは、SSL 対応 Web サーバと通信する前に、そのサーバが提示する証明書を分析できません。

ユーザのインターネット アクセスを制限するには、[Disable for the URL Entry] フィールドを選択します。これにより、SSL VPN ユーザがクライアントレス VPN 接続中に Web サーフィンできないようにします。

[Unchanged]:(デフォルト)このセッションに適用されるグループ ポリシーからの値を使用します。

[Enable/Disable]:機能をイネーブルまたはディセーブルにします。

[Auto-start]:HTTP プロキシをイネーブルにし、DAP レコードにより、これらの機能に関連付けられたアプレットを自動的に起動させます。

[Port Forwarding Lists] タブ:ユーザ セッションでのポート転送リストを選択して設定できます。

ポート転送によりグループ内のリモート ユーザは、既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできます。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。


) ポート転送は、一部の SSL/TLS バージョンでは機能しません。



注意 Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされており、ポート転送(アプリケーション アクセス)とデジタル証明書をサポートしていることを確認します。

[Port Forwarding]:この DAP レコードに適用されるポート転送リストのオプションを選択します。このフィールドのその他のアトリビュートは、[Port Forwarding] を [Enable] または [Auto-start] に設定した場合にだけイネーブルになります。

[Unchanged]:実行コンフィギュレーションからアトリビュートを削除します。

[Enable/Disable]:ポート転送をイネーブルまたはディセーブルにします。

[Auto-start]:ポート転送をイネーブルにし、DAP レコードに、そのポート転送リストに関連付けられたポート転送アプレットを自動的に起動させます。

[Port Forwarding List] ドロップダウン リスト:DAP レコードに追加する、すでに設定済みのポート転送リストを選択します。

[New...]:新規のポート転送リストを設定します。

[Port Forwarding Lists](ラベルなし):DAP レコードのポート転送リストを表示します。

[Add]:ドロップダウン ボックスから選択したポート転送リストを右側のポート転送リストに追加します。

[Delete]:選択したポート転送リストをポート転送リストから削除します。セキュリティ アプライアンスからポート転送リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。

[URL Lists] タブ:ユーザ セッションでの URL リストを選択して設定できます。

[Enable URL Lists]:イネーブルにします。このボックスがオフになっていると、その接続のポータル ページには URL リストが表示されません。

[URL List] ドロップダウン リスト:DAP レコードに追加する、設定済みの URL リストを選択します。

[Manage...]:URL リストを追加、インポート、エクスポート、および削除します。

[URL Lists](ラベルなし):DAP レコードの URL リストを表示します。

[Add]:ドロップダウン リストから選択した URL リストを、右側の URL リスト ボックスに追加します。

[Delete]:選択した URL リストを URL リスト エリアから削除します。セキュリティ アプライアンスから URL リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。

[Access Method] タブ:許可するリモート アクセスのタイプを設定できます。

[Unchanged]:現在のリモート アクセス方式を続けて使用します。

[AnyConnect Client]:Cisco AnyConnect VPN Client を使用して接続します。

[Web-Portal]:クライアントレス VPN で接続します。

[Both-default-Web-Portal]:クライアントレスまたは AnyConnect クライアントのいずれかによって接続します。デフォルトはクライアントレスです。

[Both-default-AnyConnect Client]:クライアントレスまたは AnyConnect クライアントのいずれかによって接続します。デフォルトは AnyConnect です。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

[Add/Edit AAA Attributes]

図 37-4 に [Add AAA Attribute] ダイアログボックスを示します。

図 37-4 [Add AAA Attribute] ダイアログボックス

 

DAP レコードの選択基準として AAA アトリビュートを設定するには、[Add/Edit AAA Attributes] ダイアログボックスで、使用する Cisco、LDAP、または RADIUS アトリビュートを設定します。これらのアトリビュートは、入力する値に対して「=」または「!=」のいずれかに設定できます。各 DAP レコードに設定可能な AAA アトリビュートの数に制限はありません。AAA アトリビュートの詳細については、「AAA アトリビュートの定義」を参照してください。

フィールド

[AAA Attributes Type]:ドロップダウン リストを使用して、Cisco、LDAP、または RADIUS アトリビュートを選択します。

[Cisco]:AAA 階層モデルに保存されているユーザ認可アトリビュートを参照します。DAP レコードの AAA 選択アトリビュートに、これらのユーザ認可アトリビュートの小規模なサブセットを指定できます。次のアトリビュートが含まれます。

[Group Policy]:VPN ユーザ セッションに関連付けられているグループ ポリシー名を示します。セキュリティ アプライアンスでローカルに設定するか、IETF クラス(25)アトリビュートとして RADIUS/LDAP から送信します。最大 64 文字です。

[IP Address]:フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect) クライアントレス セッションに割り当てられたアドレスがないため、クライアントレス SSL VPNには適用されません。

[Connection Profile]:コネクションまたはトネリングのグループ名。最大 64 文字です。

[Username]:認証されたユーザのユーザ名。最大 64 文字です。ローカル認証、RADIUS 認証、LDAP 認証のいずれかを、またはその他の認証タイプ(RSA/SDI、NT Domain などのいずれかを使用している場合に適用されます。

[=/!=]:と等しい/と等しくない

[LDAP]:LDAP クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ LDAP 応答アトリビュート値のペアを保存します。LDAP クライアントは、受け取る順序で応答アトリビュートをデータベースに書き込みます。名前が同じ後続のアトリビュートは、すべて破棄されます。このシナリオは、ユーザ レコードとグループ レコードの両方が LDAP サーバから読み取られる場合に発生する可能性があります。ユーザ レコード アトリビュートが最初に読み取られ、グループ レコード アトリビュートよりも常に優先されます。

Active Directory グループ メンバーシップをサポートするため、AAA LDAP クライアントは LDAP memberOf 応答アトリビュートを特殊な方法で処理します。AD memberOf アトリビュートは、AD のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列の最初の CN 値です。LDAP クライアントは、DN 文字列からグループ名を抽出して AAA memberOf アトリビュートとして保存し、応答アトリビュート データベースには LDAP memberOf アトリビュートして保存します。LDAP 応答メッセージ内にその他の memberOf アトリビュートがある場合、そのグループ名は、それらのアトリビュートから抽出され、先の AAA memberOf アトリビュートと組み合されたカンマ区切り文字列のグループ名を形成し、応答アトリビュート データベース内で更新されます。

LDAP 認証/認可サーバへの VPN リモート アクセス セッションが次の 3 つのActive Directory グループ(memberOf 列挙)のいずれかを返す場合は、次の通りとなります。

cn=Engineering,ou=People,dc=company,dc=com

cn=Employees,ou=People,dc=company,dc=com

cn=EastCoastast,ou=People,dc=company,dc=com

ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループを処理します。これらのグループは、aaa.ldap の選択基準としてどのような組み合せでも使用できます。

LDAP アトリビュートは、DAP レコード内のアトリビュート名とアトリビュート値のペアで構成されています。LDAP アトリビュート名は、構文に従う必要があり、大文字、小文字を区別します。たとえば、AD サーバが部門として返す値の代わりに、LDAP アトリビュートの Department を指定した場合、DAP レコードはこのアトリビュート設定に基づき一致しません。


) [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。

例:

eng;sale; cn=Audgen VPN,ou=USERS,o=OAG


[RADIUS]:RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ RADIUS 応答アトリビュート値のペアを保存します。RADIUS クライアントは、受け取る順序で応答アトリビュートをデータベースに書き込みます。名前が同じ後続のアトリビュートは、すべて破棄されます。このシナリオは、ユーザ レコードとグループ レコードの両方が RADIUS サーバから読み取られる場合に発生する可能性があります。ユーザ レコード アトリビュートが最初に読み取られ、グループ レコード アトリビュートよりも常に優先されます。

RADIUS アトリビュートは、DAP レコード内のアトリビュート番号とアトリビュート値のペアで構成されています。セキュリティ アプライアンスがサポートする RADIUS アトリビュートの一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS のアトリビュートと値 」を参照してください。


) RADIUS アトリビュートについて、DAP は Attribute ID = 4096 + RADIUS ID と定義します。

例:

RADIUS 属性「Access Hours」は Radius ID = 1 となっています。そのため、DAP アトリビュート値 = 4096 + 1 = 4097 です。

RADIUS アトリビュート「Member Of」は、Radius ID = 146 となっています。そのため、DAP アトリビュート値 = 4096 + 146 = 4242 です。


LDAP および RADIUS アトリビュートには、次の値があります。

[Attribute ID]:アトリビュートの名前/番号。最大 64 文字です。

[Value]:アトリビュート名(LDAP)または数値(RADIUS)。

[Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。

例:

eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

[=/!=]:と等しい/と等しくない

LDAP には、[Get AD Groups] ボタンが含まれます。このボタンは、Active Directory LDAP サーバに対して、ユーザが属するグループのリスト(memberOf 列挙)の問い合せを実行します。CLI の show-ad-groups コマンドをバックグランドで実行し、AD グループを取得します。

show ad-groups コマンドは、LDAP を使用し Active Directory サーバだけに適用されます。このコマンドを使用し、ダイナミック アクセス ポリシーの AAA 選択基準に使用可能な AD グループを表示します。

セキュリティ アプライアンスがサーバからの応答を待機するまでのデフォルト時間は 10 秒です。aaa-server ホスト設定モードで group-search-timeout コマンドを実行し、時間を調整できます。


) Active Directory サーバにあるグループが多数である場合、show ad-groups コマンドの出力結果はサーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、フィルタ オプションを使用し、サーバが返すグループ数を減らしてください。


モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

Active Directory グループの取得

図 37-5 に、[Selected AD Server Group] ペインの [Retrieve AD Groups] を示します。

図 37-5 [Retrieve AD Groups] ダイアログボックス

 

Active Directory サーバにクエリーを実行し、このペインで利用可能な AD グループを問い合せることができます。この機能は、LDAP を使用している Active Directory サーバだけに適用されます。このグループ情報を使用し、ダイナミック アクセス ポリシーの AAA 選択基準を指定します。

[Edit AAA Server] ペインで Group Base DN を変更し、Active Directory 階層の中で検索を開始するレベルを変更できます。ウィンドウ内で、セキュリティ アプライアンスがサーバの応答を待つ時間も変更できます。これらの機能を設定するには、[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] を選択します。


) Active Directory サーバにあるグループが多数である場合、取得した AD グループのリストは サーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、フィルタ 機能を使用し、サーバが返すグループ数を減らしてください。


フィールド

[AD Server Group]:AD グループを取得する AAA サーバ グループ名。

[Filter By]:表示されるグループを減らすために、グループ名またはグループ名の一部を指定します。

[Group Name]:サーバから取得された AD グループのリスト。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

エンドポイント アトリビュートの追加および編集

図 37-6 に、[Add Endpoint Attributes] ダイアログボックスを示します。

図 37-6 [Add Endpoint Attributes] ダイアログボックス

 

エンドポイント アトリビュートには、エンドポイント システム環境、ポスチャ評価結果、およびアプリケーションに関する情報が含まれています。セキュリティ アプライアンスは、セッション中にエンドポイント アトリビュートの集合体を動的に生成し、それらのアトリビュートをセッションに関連付けられたデータベースに保存します。各 DAP レコードに設定可能なエンドポイント アトリビュートの数に制限はありません。

各 DAP レコードには、セキュリティ アプライアンスが DAP レコードを選択するために満たす必要があるエンドポイント選択アトリビュートが指定されます。セキュリティ アプライアンスは、設定されたすべての条件を満たす DAP レコードだけを選択します。

エンドポイント アトリビュートの詳細については、「エンドポイント アトリビュートの定義」を参照してください。

エンドポイント アトリビュートを DAP レコードの選択基準として設定するには、[dd/Edit Endpoint Attribute] ダイアログボックスでコンポーネントを設定します。これらのコンポーネントは、選択するアトリビュートのタイプに応じて異なります。

フィールド

[Endpoint Attribute Type]:設定するエンドポイント アトリビュートをドロップダウン リストから選択します。[Antispyware]、[Antivirus]、[Application]、[File]、[NAC]、[Operating System]、[Personal Firewall]、[Process]、[Registry]、[VLAN]、および [Priority] から選択できます。

エンドポイント アトリビュートにはこれらのコンポーネントがありますが、すべてのアトリビュートにすべてのコンポーネントが含まれているわけではありません。次の説明では、各コンポーネントが適用されるアトリビュートを括弧で囲んで示しています。

[Exists/Does not exist] ボタン([Antispyware]、[Antivirus]、[Application]、[File]、[NAC]、[Operating System]、[Personal Firewall]、[Process]、[Registry]、[VLAN]、[Priority]):適切なボタンをクリックして、選択したエンドポイント アトリビュートとそれに伴う修飾子([Exists/Does not exist] ボタン下のフィールド)を表示するかどうかを指定します。

[Vendor ID]([Antispyware]、[Antivirus]、[Personal Firewall]):アプリケーション ベンダーの ID です。

[Vendor Description]([Antispyware]、[Antivirus]、[Personal Firewall]):アプリケーション ベンダーの説明をテキストで入力します。

[Version]([Antispyware]、[Antivirus]、[Personal Firewall]):アプリケーションのバージョンを特定し、エンドポイント アトリビュートをそのバージョンと等しくするかどうかを指定します。

[Last Update]([Antispyware]、[Antivirus]、[File]):最後の更新時からの経過日数を指定します。ここで入力する日数未満(<)に、またはそれより多い日数が経過してから(>)更新が行われるように指定することもできます。

[Client Type]([Application]):リモート アクセス接続のタイプを、AnyConnect、Clientless、Cut-through Proxy、IPsec、または L2TP から指定します。

[Checksum](File):ファイルを選択し、[Compute Checksum] ボタンをクリックしてこの値を求めます。

[Compute CRC32 Checksum](File):このカルキュレータを使用してファイルのチェックサム値を求めます。

[Posture Status](NAC):ACS から受け取るポスチャ トークン文字列が含まれています。

[OS Version](Operating System):Windows(複数のバージョン)、MAC、Linux、Pocket PC。

[Service Pack](Operating System):オペレーティング システムのサービス パックを指定します。

[Endpoint ID]([File]、[Process]、[Registry]):ファイル、プロセス、またはレジストリ エントリのエンドポイントを識別する文字列。DAP は、この ID を使用して、DAP 選択で Cisco Secure Desktop ホスト スキャン アトリビュートを照合します。このアトリビュートを設定する前に、Host Scan を設定する必要があります。Host Scan を設定する場合はコンフィギュレーションがこのペインに表示されるため、画面上で値を選択することによって、入力中および構文内のエラーを少なくすることができます。

[Path]([Process]、[Policy]):このアトリビュートを設定する前に Host Scan を設定します。Host Scan を設定する場合はコンフィギュレーションがこのペインに表示されるため、画面上で値を選択することによって、入力中および構文内のエラーを少なくすることができます。

[Value]([Registry]):dword または文字列。

[Caseless]([Registry]):レジストリ エントリの大文字と小文字を区別しない場合に選択します。

[VLAN ID]([VLAN]):1 ~ 4094 の範囲の有効な 802.1q 番号。

[VLAN Type]([VLAN]):次の値を指定できます。

 

ACCESS

ポスチャ評価合格

STATIC

適用するポスチャ評価なし

TIMEOUT

応答がないためにポスチャ評価失格

AUTH

ポスチャ評価は依然アクティブ

GUEST

ポスチャ評価合格、ゲスト VLAN に切り替え

QUARANTINE

ポスチャ評価失格、検疫 VLAN に切り替え

ERROR

重大エラーのためにポスチャ評価失格

[Policy]([Location]):Cisco Secure Desktop Microsoft Windows のロケーション プロファイルを、大文字と小文字を区別して入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
トランス
ペアレント
シングル
マルチ
コンテキスト
システム

--

--

ガイド

この項では、AAA またはエンドポイント アトリビュートの論理式の作成方法について説明します。論理式を作成するには、Lua(www.lua.org)についての高度な知識が必要になります。

[Advanced] フィールドに、AAA またはエンドポイント選択論理演算を表す自由形式の Lua テキストを入力します。ASDM は、ここで入力されるテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーするだけです。セキュリティ アプライアンスがそれを処理し、解析不能な式があれば破棄されます。

このオプションは、上の説明にある AAA およびエンドポイント アトリビュート領域で指定可能な基準以外の選択基準を追加する場合に便利です。たとえば、指定された条件のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA アトリビュートを使用するようにセキュリティ アプライアンスを設定できます。エンドポイント アトリビュートは累積され、すべて満たす必要があります。セキュリティ アプライアンスで 1 つのエンドポイント アトリビュートまたは別のアトリビュートを使用できるようにするには、Lua で適切な論理式を作成してここで入力する必要があります。

論理式を作成する場合の正しい名前の構文を含む AAA 選択アトリビュートのリストについては、 表 37-1 を参照してください。

論理式を作成する場合の正しい名前の構文を含むエンドポイント選択アトリビュートのリストについては、 表 37-3 を参照してください。

次の各項では、Lua EVAL 式作成の詳細と、例を示します。

Lua EVAL 式を作成する構文

DAP EVAL 式の作成

DAP CheckAndMsg 関数

単一アンチウイルス プログラムのチェック

過去 10 日以内のアンチウイルス定義のチェック

ユーザ PC 上の Hotfix のチェック

アンチウイルス プログラムのチェック

アンチウイルス プログラムと、1 日半以上経過した定義のチェック

追加の Lua 機能

OU ベースの一致例

グループ メンバーシップの例

アンチウイルスの例

アンチスパイウェアの例

ファイアウォールの例

アンチウイルス、アンチスパイウェア、またはすべてのファイアウォールの例

CheckAndMsg をカスタム関数で使用した例

Lua の詳細情報

Lua EVAL 式を作成する構文

この項では、Lua EVAL式を作成する構文について説明します。


) [Advanced] モードを使用する必要がある場合は、プログラムを直接的に検証することが可能になり、明確になるため、できるだけ EVAL 式を使用することをお勧めします。


EVAL(< attribute > , <comparison>, {< value > | < attribute >}, [<type>])

 

<attribute>

AAA アトリビュート、または Cisco Secure Desktop から返されたアトリビュート。アトリビュートの定義については、 表 37-1 および 表 37-3 を参照してください。

<comparison>

次の文字列のいずれか(引用符が必要)

"EQ"

等しい

"NE"

等しくない

"LT"

より小さい

"GT"

より大きい

"LE"

以下

"GE"

以上

<value>

引用符で囲まれ、アトリビュートと比較する値を含む文字列

<type>

次の文字列のいずれか(引用符が必要)

"string"

大文字、小文字を区別する文字列の比較

"caseless"

大文字、小文字を区別しない文字列の比較

"integer"

数値比較で、文字列値を数値に変換

"hex"

16 進数を用いた数値比較で、16 進数の文字列を 16 進数に変換

"version"

X.Y.Z の形式でバージョンを比較 X、Y、Z はいずれも数値

EVAL(endpoint.os.version, "EQ", "Windows XP", "string")

DAP EVAL 式の作成

Lua で論理式を作成する場合は、これらの例を参考にしてください。

このエンドポイント式は、CLIENTLESS OR CVC クライアント タイプに一致するかどうかをテストします。

(EVAL(endpoint.application.clienttype,”EQ”,"CLIENTLESS") or
EVAL(endpoint.application.clienttype, “EQ”,"CVC"))
 

このエンドポイント式は、Norton Antivirus バージョン 10.x かどうかをテストしますが、10.5.x を除外します。

(EVAL(endpoint.av[“NortonAV”].version, “GE”, "10",”version”) and (EVAL(endpoint.av[“NortonAV”].version,”LT”, "10.5", “version”) or EVAL(endpoint.av[“NortonAV”].version, “GE”, "10.6", “version”)))

DAP CheckAndMsg 関数

CheckAndMsg は、DAP がコールするように設定可能な Lua 関数です。条件に基づきユーザ メッセージを生成します。

DAP の [Advanced] フィールドで、CheckAndMsg を使用するように ASDM を設定できます。セキュリティ アプライアンスは、Lua CheckAndMsg 関数が選択されており、結果がクライアントレス SSL VPN または AnyConnect のターミネーションとなるときだけに、メッセージをユーザに表示します。

CheckAndMsg 関数の構文は以下の通りです。

CheckAndMsg(value, “<message string if value is true>”, “<message string if value if false>”)
 

CheckAndMsg 関数の作成時には、以下の点に注意してください。

CheckAndMsg は、最初の引数として渡された値を返します。

文字列比較を使用したくない場合、EVAL 関数を最初の引数として使用してください。次の例を参考にしてください。

(CheckAndMsg((EVAL(...)) , "true msg", "false msg"))
 

CheckandMsg は EVAL 関数の結果を返し、セキュリティ アプライアンスは DAP レコードを選択すべきかどうかを判断するのにその結果を使用します。レコードが選択された結果、ターミネーションとなった場合、セキュリティ アプライアンスは適切なメッセージを表示します。

単一アンチウイルス プログラムのチェック

この例では、単一アンチウイルス プログラム(ここでは McAfee)がユーザの PC にインストールされているかどうかを確認します。インストールされていない場合はメッセージを表示します。

(CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].exists,"NE","true"),"McAfee AV was not found on your computer", nil))

過去 10 日以内のアンチウイルス定義のチェック

この例では、過去 10 日(864000 秒)以内のアンチウイルス定義をチェックします。特に、McAfee AV dat ファイルの最終更新を確認し、適切な更新を行っていないユーザには通知するメッセージを表示します。

((CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,"GT","864000","integer"),"AV Update needed! Please wait for the McAfee AV till it loads the latest dat file.",nil) ))

ユーザ PC 上の Hotfix のチェック

この例では、特定の Hotfix を確認します。ユーザの PC 上に Hotfix がない場合、インストールされていないことを示すメッセージが表示されます。

(not CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"EQ","true"),nil,"The required hotfix is not installed on your PC."))
 

または、以下のように定義できます(よりわかりやすい方法)。

(CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"NE","true"),"The required hotfix is not installed on your PC.",nil))
 

debug dap トレースが返されるため、この例では式を作成できます。

endpoint.os.windows.hotfix["KB923414"] = "true";

アンチウイルス プログラムのチェック

アンチウイルス プログラムがない場合、または実行していない場合も、ユーザが問題に気づき、修正できるようにメッセージを設定できます。これにより、アクセスが拒否されても、セキュリティ アプライアンスは「ターミネーション」状態の原因となったすべてのメッセージを DAP から収集し、ブラウザのログオン ページに表示します。アクセスが許可された場合、セキュリティ アプライアンスはポータル ページの DAP 評価プロセスで生成されたすべてのメッセージを表示します。

次の例は、Norton Antivirus プログラムのチェックでこの機能を使用する方法を示します。


ステップ 1 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

(CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "EQ", "false"),"Your Norton AV was found but the active component of it was not enabled", nil) or CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "NE", "true"),"Norton AV was not found on your computer", nil) )
 

ステップ 2 同じ [Advanced] フィールドで、 [OR] ボタンをクリックします。

ステップ 3 下の [Access Attributes] セクションの一番左の [Action] タブで、 [Terminate] をクリックします。

ステップ 4 Norton Antivirus がインストールされていないか、無効になっている PC から接続します。

接続が許可されず、 さらに メッセージが点滅する 「!」マークに表示されます。

ステップ 5 点滅する「!」 をクリックし、メッセージを表示します。


 

アンチウイルス プログラムと、1 日半以上経過した定義のチェック

この例では、Norton または McAfee のアンチウイルス プログラムが存在するかどうか、また、ウィルス定義が 1 日半(10,000 秒)以内のものであるかどうかを確認します。定義が 1 日半以上経過している場合、セキュリティ アプライアンスはセッションを終了し、メッセージと、修正するためのリンクを表示します。このタスクを完了するには、次の手順を実行します。


ステップ 1 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

((EVAL(endpoint.av["NortonAV"].exists,"EQ","true","string") and CheckAndMsg(EVAL(endpoint.av["NortonAV"].lastupdate,"GT","10000",integer"),To remediate <a href='http://www.symantec.com'>Click this link </a>",nil)) or
(EVAL(endpoint.av["McAfeeAV"].exists,"EQ","true","string") and CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].lastupdate,"GT","10000",integer"),To remediate <a href='http://www.mcafee.com'>Click this link</a>",nil))

 

ステップ 2 同じ [Advanced] フィールドで、 [AND] をクリックします。

ステップ 3 下の [Access Attributes] セクションの一番左の [Action] タブで、 [Terminate] をクリックします。

ステップ 4 Norton または McAfee のアンチウイルス プログラムがインストールされており、バージョンが 1 日半以上前のものである PC から接続します。

接続が許可されず、 さらに メッセージが点滅する 「!」マークに表示されます。

ステップ 5 点滅する「!」 とクリックし、メッセージと修正するためのリンクを表示します。


 

追加の Lua 機能

クライアントレス SSL VPN のダイナミック アクセス ポリシーで作業している場合、一致基準に高度な柔軟性が必要とされることが考えられます。たとえば、以下に従い別の DAP を適用しなければならない場合があります。

組織ユニット(OU)またはユーザ オブジェクトの他の階層のレベル

命名規則にしたがっているものの、一致する可能性が高いグループ名。グループ名ではワイルドカードを使用したほうが良い場合があります。

ASDM の [DAP] ペイン内の [Advanced] セクションで Lua 論理式を作成し、この柔軟性を実現できます。

OU ベースの一致例

DAP は、論理式で LDAP サーバから返される多数のアトリビュートを使用できます。DAP トレースの項で出力例を参照するか、debug dap トレースを実行してください。

LDAP サーバはユーザの認定者名(DN)を返します。これは、ディレクトリ内のどの部分にユーザ オブジェクトがあるかを暗黙的に示します。たとえば、ユーザの DN が CN=Example User,OU=Admins,dc=cisco,dc=com である場合、このユーザは OU=Admins,dc=cisco,dc=com に存在します。すべての管理者がこの OU(または、このレベル以下のコンテナ)に存在する場合、以下のように、この基準に一致する論理式を使用できます。

assert(function()
if ( (type(aaa.ldap.distinguishedName) == "string") and
(string.find(aaa.ldap.distinguishedName, "OU=Admins,dc=cisco,dc=com$") ~= nil) ) then
return true
end
return false
end)()
 

この例では、string.find 関数で正規表現を使用できます。文字列の最後に $ を使用し、この文字列から distinguishedName フィールドの最後へのアンカーをつけます。

グループ メンバーシップの例

AD グループ メンバーシップのパターン照合のために、基本論理式を作成できます。ユーザが複数のグループのメンバーであることが考えられるため、DAP は LDAP サーバからの応答を表内の別々のエントリへと解析します。以下を実行するには、高度な機能が必要です。

memberOf フィールドを文字列として比較する(ユーザが 1 つのグループだけに所属している場合)。

返されたそれぞれの memberOf フィールドで繰り返し処理し、返されたデータが「table」タイプであるかどうかを確認する。

そのために記述し、テストした関数を以下に示します。この例では、ユーザが「-stu」で終わるいずれかのグループのメンバーである場合、この DAP に一致します。

assert(function()
local pattern = "-stu$"
local attribute = aaa.ldap.memberOf
if ((type(attribute) == "string") and
(string.find(attribute, pattern) ~= nil)) then
return true
elseif (type(attribute) == "table") then
local k, v
for k, v in pairs(attribute) do
if (string.find(v, pattern) ~= nil) then
return true
end
end
end
return false
end)()

アンチウイルスの例

次の例は、CSD がアンチウイルス ソフトウェアを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチスパイウェアの例

次の例は、CSD がアンチスパイウェア ソフトウェアを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.as) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

ファイアウォールの例

次の例は、CSD がファイアウォールを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.fw) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチウイルス、アンチスパイウェア、 または すべてのファイアウォールの例

次の例は、CSD がアンチウイルス、アンチスパイウェアまたはファイアウォールのいずれかの存在を検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
function check(antix)
if (type(antix) == "table") then
for k,v in pairs(antix) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
end
return false
end
return (check(endpoint.av) or check(endpoint.fw) or check(endpoint.as))
end)()

CheckAndMsg をカスタム関数で使用した例

アンチウイルス プログラムが存在しない場合のアクセスを拒否するために、次の関数を使用できます。ターミネーションを実行するためのアクションが設定されている DAP で使用します。

assert( function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ”, "true", "string")) then
return false
end
end
return CheckAndMsg(true, "Please install antivirus software before connecting.", nil)
end)()
 

アンチウイルス プログラムがないユーザがログインしようとすると、DAP は次のメッセージを表示します。

Please install antivirus software before connecting.

Lua の詳細情報

Lua のプログラミングについての詳細は、以下を参照してください。http://www.lua.org/manual/5.1/manual.html

[Operator for Endpoint Category]

各タイプのエンドポイントのインスタンスを複数設定できます。このペインでは、あるタイプのインスタンスを 1 つだけ必要とする(Match Any = OR)ように、またはあるタイプのインスタンスのすべてを持つ(Match All = AND)ように、各タイプのエンドポイントを設定します。

同じエンドポイント カテゴリのインスタンスを 1 つだけ設定する場合は、値を設定する必要はありません。

一部のエンドポイント アトリビュートの場合は、複数のインスタンスを設定しても意味がありません。たとえば、複数の実行 OS を持つユーザはいません。

各エンドポイント タイプ内で Match Any/Match All 演算を設定します。

セキュリティ アプライアンスは、各タイプのエンドポイント アトリビュートを評価し、次に、すべての設定済みエンドポイントに対して論理 AND 演算を実行します。つまり、各ユーザは、AAA アトリビュートとともに、設定する「すべて」のエンドポイントの条件を満たす必要があります。

DAP の例

次の各項に、便利なダイナミック アクセス ポリシーの例を示します。

DAP を使用したネットワーク リソースの定義

DAP を使用した WebVPN ACL の適用

CSD チェックの強制と DAP によるポリシーの適用

DAP を使用したネットワーク リソースの定義

この例は、ユーザまたはグループのネットワーク リソースを定義する方法として、ダイナミック アクセス ポリシーを設定する方法を示しています。Trusted_VPN_Access という名前の DAP ポリシーは、クライアントレス VPN アクセスと AnyConnect VPN アクセスを許可します。Untrusted_VPN_Access という名前のポリシーは、クライアントレス VPN アクセスだけを許可します。 表 37-4 に、これらのポリシーそそれぞれのコンフィギュレーションをまとめています。

ASDM パスは、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] です。

 

表 37-4 ネットワーク リソースの簡単な DAP コンフィギュレーション

アトリビュート
Trusted_VPN_Access
Untrusted_VPN_Access

Endpoint Attribute Type Policy

Trusted

Untrusted

Endpoint Attribute Process

ieexplore.exe

--

Advanced Endpoint Assessment

AntiVirus= McAfee Attribute

CSD Location

Trusted

Untrusted

LDAP memberOf

Engineering、Managers

Vendors

ACL

Web-Type ACL

Access

AnyConnect および Web Portal

Web Portal

DAP を使用した WebVPN ACL の適用

DAP では、Network ACLs(IPsec および AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、URL リスト、および Functions を含め、アクセス ポリシー アトリビュートのサブセットを直接適用できます。グループ ポリシーが適用されるバナーまたはスプリット トンネル リストなどには、直接適用できません。[Add/Edit Dynamic Access Policy] ペインの [Access Policy Attributes] タブには、DAP が直接適用されるアトリビュートの完全なメニューが表示されます。

Active Directory/LDAP は、ユーザ グループ ポリシー メンバーシップをユーザ エントリの「memberOf」アトリビュートとして保存します。DAP は、AD グループ(memberOf)のユーザ = セキュリティ アプライアンスが設定済み Web-Type ACL を適用する Engineering となるように定義できます。このタスクを完了するには、次の手順を実行します。


ステップ 1 Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA アトリビュート タイプとしては、ドロップダウン メニューを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 ペインの [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タブをクリックします。

ステップ 6 [Web-Type ACL] ドロップダウン メニューを使用して、AD グループ(memberOf)= Engineering のユーザに適用する ACL を選択します。


 

CSD チェックの強制と DAP によるポリシーの適用

この例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering および Employees)と 1 つの特定 ASA トンネル グループに属することをチェックする DAP を作成します。その後、ACL をユーザに適用します。

DAP が適用される ACL により、リソースへのアクセスを制御します。それらの ACL は、セキュリティ アプライアンスのグループ ポリシーで定義されるどの ACL よりも優先されます。またセキュリティ アプライアンスは、スプリット トンネリング リスト、バナー、および DNS など、DAP で定義または制御しない要素の通常の AAA グループ ポリシー継承ルールおよびアトリビュートを適用します。このタスクを完了するには、次の手順を実行します。


ステップ 1 Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA アトリビュート タイプとしては、ドロップダウン メニューを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 6 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Employees」と入力します。

ステップ 7 AAA アトリビュート タイプとしては、ドロップダウン メニューを使用して [Cisco] を選択します。

ステップ 8 [Tunnel] グループ ボックスをオンにし、ドロップダウン メニューを使用して [=] を選択し、隣のドロップダウン リストで適切なトンネル グループ(接続ポリシー)を選択します。

ステップ 9 [Access Policy Attributes] 領域の [Network ACL Filters] タブで、前のステップで定義した DAP 基準を満たすユーザに適用する ACL を選択します。