ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
ダイナミック アクセス ポリシーの設定
ダイナミック アクセス ポリシーの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ダイナミック アクセス ポリシーの設定

ダイナミック アクセス ポリシーについて

DAP とエンドポイント セキュリティ

リモート アクセス接続タイプに対する DAP サポート

DAP を使用するリモート アクセス接続シーケンス

ダイナミック アクセス ポリシーを適用するためのライセンス要件

Advanced Endpoint Assessment ライセンス

SSL VPN ライセンス(クライアント)

AnyConnect Mobile ライセンス

ダイナミック アクセス ポリシー インターフェイス

ダイナミック アクセス ポリシーの設定

ダイナミック アクセス ポリシーのテスト

DAP と認証、許可、アカウンティング サービス

DAP での AAA 属性の設定

Active Directory グループの取得

DAP で使用されるエンドポイント属性の設定

DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加

DAP へのアプリケーション属性の追加

DAP へのモバイル ポスチャ属性の追加

DAP へのファイル エンドポイント属性の追加

DAP へのデバイス エンドポイント属性の追加

DAP への NAC エンドポイント属性の追加

DAP へのオペレーティング システム エンドポイント属性の追加

DAP へのパーソナル ファイアウォール エンドポイント属性の追加

DAP へのポリシー エンドポイント属性の追加

DAP へのプロセス エンドポイント属性の追加

DAP へのレジストリ エンドポイント属性の追加

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

エンドポイント属性の定義

DAP アクセスと許可ポリシー属性の設定

DAP トレースの実行

LUA を使用して DAP 論理式を作成するためのガイド

Lua EVAL 式を作成する構文

DAP CheckAndMsg 関数

追加の Lua 機能

CheckAndMsg をカスタム関数で使用した例

Lua の詳細情報

Operator for Endpoint Category

DAP の例

ダイナミック アクセス ポリシーの設定

この章では、ダイナミック アクセス ポリシーを設定する方法を説明します。次の項目を取り上げます。

「ダイナミック アクセス ポリシーについて」

「ダイナミック アクセス ポリシーを適用するためのライセンス要件」

「ダイナミック アクセス ポリシー インターフェイス」

「ダイナミック アクセス ポリシーの設定」

「ダイナミック アクセス ポリシーのテスト」

「DAP と認証、許可、アカウンティング サービス」

「DAP で使用されるエンドポイント属性の設定」

「DAP アクセスと許可ポリシー属性の設定」

「LUA を使用して DAP 論理式を作成するためのガイド」

ダイナミック アクセス ポリシーについて

VPN ゲートウェイは動的な環境で動作します。個々の VPN 接続には、頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティ レベルが異なるリモート アクセス サイトからのログインなど、複数の変数が影響する可能性があります。VPN 環境でのユーザ認可のタスクは、スタティックな設定のネットワークでの認可タスクよりもかなり複雑です。

ASAでのダイナミック アクセス ポリシー(DAP)により、これらの多くの変数に対処する認可機能を設定できます。ダイナミック アクセス ポリシーは、特定のユーザ トンネルまたはユーザ セッションに関連付ける一連のアクセス コントロール属性を設定して作成します。これらの属性により、複数のグループ メンバーシップやエンドポイント セキュリティの問題に対処します。つまり、ASAでは、定義したポリシーに基づき、特定のユーザに対して、特定のセッションのアクセスが許可されます。ASA は、ユーザが接続した時点で、DAP レコードからの属性を選択または集約することによって DAP を生成します。DAP レコードは、リモート デバイスのエンドポイント セキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザ トンネルまたはセッションに適用されます。

DAP システムには、注意を必要とする次のコンポーネントがあります。

DAP 選択コンフィギュレーション ファイル:セッション確立中に DAP レコードを選択および適用するためにASAが使用する、基準が記述されたテキスト ファイル。ASAに保存されています。ASDM を使用して、このファイルを変更したり、XML データ形式でASAにアップロードしたりできます。DAP 選択設定ファイルには、ユーザが設定するすべての属性が記載されています。たとえば、AAA 属性、エンドポイント属性、ネットワーク ACL と Web-type ACL のフィルタで設定されるアクセス ポリシー、ポート転送リスト、および URL リストなどがあります。

DfltAccess ポリシー:常に DAP サマリー テーブルの最後のエントリで、プライオリティは必ず 0。デフォルト アクセス ポリシーのアクセス ポリシー属性を設定できますが、AAA 属性またはエンドポイント属性は含まれておらず、これらの属性は設定できません。DfltAccessPolicy は削除できません。また、サマリー テーブルの最後のエントリになっている必要があります。

詳細については、『 Dynamic Access Deployment Guide 』( https://supportforums.cisco.com/docs/DOC-1369 )を参照してください。

DAP とエンドポイント セキュリティ

ASA は、管理者が設定したポスチャ評価ツールを使用してエンドポイント セキュリティ属性を取得します。このポスチャ評価ツールには、AnyConnect ポスチャ モジュール、独立したホスト スキャン パッケージ、Cisco Secure Desktop、NAC などがあります。

表 69-1 に、DAP がサポートしている各リモート アクセス プロトコル、その方式で使用可能なポスチャ評価ツール、およびそのツールによって提供される情報を示します。

 

表 69-1 DAP ポスチャ評価

リモート アクセス プロトコル
AnyConnect ポスチャ モジュール
ホスト スキャン パッケージ
Cisco Secure Desktop
(Endpoint Assessment ホスト スキャン拡張機能がイネーブルでない)
AnyConnect ポスチャ モジュール
ホスト スキャン パッケージ
Cisco Secure Desktop
(Endpoint Assessment ホスト スキャン拡張機能がイネーブルである)
NAC
Cisco NAC Appliance

ファイル情報、レジストリ キーの値、実行プロセス、オペレーティング システムを返す

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール ソフトウェアの情報を返す

NAC ステータスを返す

VLAN タイプと VLAN ID を返す

IPsec VPN

No

No

Yes

Yes

Cisco AnyConnect VPN

Yes

Yes

Yes

Yes

Clientless VPN

Yes

Yes

No

No

PIX Cut-through Proxy

No

No

No

No

リモート アクセス接続タイプに対する DAP サポート

DAP システムは、次のリモート アクセス方式をサポートします。

IPsec VPN

クライアントレス(ブラウザベース)SSL VPN

Cisco AnyConnect SSL VPN

PIX カットスルー プロキシ(ポスチャ評価は使用不可)

DAP を使用するリモート アクセス接続シーケンス

次のシーケンスに、標準的なリモート アクセス接続を確立する場合の概要を示します。

1. リモート クライアントが VPN 接続を試みます。

2. ASAは、設定された NAC 値と Cisco Secure Desktop の Host Scan 値を使用してポスチャ評価を実行します。

3. ASAが、AAA を介してユーザを認証します。AAA サーバは、ユーザの認可属性も返します。

4. ASAが、AAA 認可属性をそのセッションに適用し、VPN トンネルを確立します。

5. ASAが、AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。

6. ASAが、選択した DAP レコードから DAP 属性を集約します。集約された属性が DAP ポリシーを構成します。

7. ASAがその DAP ポリシーをセッションに適用します。


 

ダイナミック アクセス ポリシーを適用するためのライセンス要件

次の表に、ダイナミック アクセス ポリシーを適用するためのライセンス要件を示します。

Advanced Endpoint Assessment ライセンス


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件

他のすべてのモデル

Advanced Endpoint Assessment ライセンス。

SSL VPN ライセンス(クライアント)


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件1 2

ASA 5505

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンスまたは Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10 または 25 セッション。

共有ライセンスはサポートされていません。3

AnyConnect Essentials ライセンス4:25 セッション。

ASA 5510

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンスと Security Plus ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:250 セッション。

ASA 5520

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:750 セッション。

ASA 5540

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:2500 セッション。

ASA 5550

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:5000 セッション。

ASA 5580

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:10000 セッション。

ASA 5512-X

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:250 セッション。

ASA 5515-X

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、または 250 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:250 セッション。

ASA 5525-X

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、または 750 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:750 セッション。

ASA 5545-X

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、または 2500 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:2500 セッション。

ASA 5555-X

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:5000 セッション。

ASA 5585-X(SSP-10)

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、または 5000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:5000 セッション。

ASA 5585-X(SSP-20、-40、および -60)

次のいずれかを使用します。

AnyConnect Premium ライセンス:

基本ライセンス:2 セッション。

オプションの永続または時間ベースのライセンス:10、25、50、100、250、500、750、1000、2500、5000、または 10000 セッション。

オプションの共有ライセンス 3 :Participant または Server。Server ライセンスでは、500 ~ 50,000(500 単位で増加)および 50,000 ~ 545,000(1000 単位で増加)。

AnyConnect Essentials ライセンス4:10000 セッション。

1.クライアントレス SSL VPN セッションを開始した後、ポータルから AnyConnect クライアント セッションを開始した場合は、合計 1 つのセッションが使用されています。これに対して、最初に AnyConnect クライアントを(スタンドアロン クライアントなどから)開始した後、クライアントレス SSL VPN ポータルにログインした場合は、2 つのセッションが使用されています。

2.すべてのタイプの組み合わせ VPN セッションの最大数は、この表に示す最大セッション数を越えることはできません。ASA 5505 では、組み合わせセッションの最大数は 10(基本ライセンスの場合)または 25(Security Plus ライセンスの場合)です。

3.共有ライセンスによって、ASAは複数のクライアントのASAの共有ライセンス サーバとして機能します。共有ライセンス プールは大規模ですが、個々のASAによって使用されるセッションの最大数は、永続的なライセンスで指定される最大数を超えることはできません。

4.AnyConnect Essentials ライセンスにより、AnyConnect VPN クライアントはASAへのアクセスが可能になります。このライセンスでは、ブラウザベースの SSL VPN アクセスまたは Cisco Secure Desktop はサポートされていません。これらの機能に対しては、AnyConnect Essentials ライセンスの代わりに AnyConnect Premium ライセンスがアクティブ化されます。

:AnyConnect Essentials ライセンスの場合、VPN ユーザは、Web ブラウザを使用してログインし、AnyConnect クライアントのダウンロードと起動(WebLaunch)を実行できます。

このライセンスと AnyConnect Premium SSL VPN ライセンスのいずれでイネーブル化されたかには関係なく、AnyConnect クライアント ソフトウェアには同じクライアント機能のセットが装備されています。

特定の ASA では、AnyConnect Premium ライセンス(全タイプ)または Advanced Endpoint Assessment ライセンスを、AnyConnect Essentials ライセンスと同時にアクティブにすることはできません。ただし、同じネットワーク内の異なる ASAで、AnyConnect Essentials ライセンスと AnyConnect Premium ライセンスを実行することは可能です。

デフォルトでは、ASA は AnyConnect Essentials ライセンスを使用しますが、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Essentials] ペインを使用すると、AnyConnect Essentials ライセンスをディセーブルにして他のライセンスを使用できます。

AnyConnect Essentials ライセンスおよび AnyConnect Premium ライセンスでサポートされている機能の詳細なリストについては、『AnyConnect Secure Mobility Client Features, Licenses, and OSs』を参照してください。

http://www.cisco.com/en/US/products/ps10884/products_feature_guides_list.html

AnyConnect Mobile ライセンス


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件

他のすべてのモデル

AnyConnect Mobile ライセンス。5

5.このライセンスでは、AnyConnect Essentials または AnyConnect Premium のいずれかのライセンスをアクティブにして、許可される SSL VPN セッションの合計数を指定する必要があります。

ダイナミック アクセス ポリシー インターフェイス

図 69-1 は [Dynamic Access Policies] ペインを示します。

図 69-1 [Dynamic Access Policies ASDM] ペイン

 

フィールド

[ACL Priority]:DAP レコードのプライオリティを表示します。ASAは、複数の DAP レコードからネットワーク ACL と Web-type ACL を集約するときに、この値を使用してアクセス リストを論理的に順序付けします。ASAは、最上位のプライオリティ番号から最下位のプライオリティ番号の順にレコードを並べ、最下位のプライオリティをテーブルの一番下に配置します。番号が大きいほどプライオリティが高いことを意味します。たとえば、値が 4 の DAP レコードは値が 2 のレコードよりも高いプライオリティを持つことになります。プライオリティは、手動での並べ替えはできません。

[Name]:DAP レコードの名前を表示します。

[Network ACL List]:セッションに適用されるファイアウォール アクセス リストの名前を表示します。

[Web-Type ACL List]:セッションに適用される SSL VPN アクセス リストの名前を表示します。

[Description]:DAP レコードの目的を説明します。

[Test Dynamic Access Policies] ボタン:設定済みの DAP レコードをテストします。

[Find]:特定のダイナミック アクセス ポリシー(DAP)を見つけるには、[Find] フィールドを使用します。このフィールドへの入力を開始すると、DAP テーブルの各フィールドの先頭部分の文字が検索され、一致するものが検出されます。ワイルドカードを使用して、検索結果を拡大できます。

たとえば、[Find] フィールドに sal と入力すると、 Sales という名前の DAP が一致しますが、 Wholesalers という名前の DAP は一致しません。[Find] フィールドに *sal と入力した場合は、テーブル内の Sales と Wholesalers のうち、最初に出現するものが検出されます。

[Find] の矢印:上矢印と下矢印を使用して、上または下にある、一致する次の文字列に移動します。

[Match Case]:[Match Case] チェックボックスをオンにすると、検索時に大文字と小文字が区別されます。

図 69-2 に [Add Dynamic Access Policy] ペインを示します。

図 69-2 [Add/Edit Dynamic Access Policies] ペイン

 

ダイナミック アクセス ポリシーの設定

前提条件

特に記載のない限り、DAP エンドポイント属性を設定する前に Cisco Secure Desktop またはホスト スキャンをインストールする必要があります。

ファイル、プロセス、レジストリのエンドポイント属性を設定する前に、ファイル、プロセス、レジストリの基本ホスト スキャン属性を設定する必要があります。手順については、ASDM を起動して [Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択し、[Help] をクリックしてください。

ガイドラインと制限事項

モバイル デバイスのガイドライン

ASA 管理者が AnyConnect モバイル ポスチャ DAP 属性をどのように使用するかは、インストール済みの AnyConnect ライセンスによって異なります。詳細については、「DAP へのモバイル ポスチャ属性の追加」を参照してください。

手順の詳細


ステップ 1 ASDM を起動し、[Configuration] > [Remote Access VPN] > [Network (Client) Access] または [Clientless SSL VPN Access] > [Dynamic Access Policies] の順に選択します。

[Configure Dynamic Access Policies] ペインが開きます。

ステップ 2 特定のアンチウイルス、アンチスパイウェア、またはパーソナル ファイアウォールのエンドポイント属性を含めるには、ペインの最上部近くの [CSD configuration] リンクをクリックします。次に、Cisco Secure Desktop および ホスト スキャンの拡張機能をイネーブルにします。このリンクは、これら両方の機能をすでにイネーブルにしている場合には表示されません。

Cisco Secure Desktop 拡張機能をイネーブルにして Host Scan 拡張機能はイネーブルにしない場合、変更を適用すると、ASDM は Host Scan コンフィギュレーションをイネーブルにするリンクを表示します。

ステップ 3 新しいダイナミック アクセス ポリシーを作成するには、[Add] をクリックします。既存のポリシーを変更するには、[Edit] をクリックします。

[Add/Edit Dynamic Access Policy] ペインが開きます。

ステップ 4 [Add/Edit Dynamic Access Policy] ペインの上部で、このダイナミック アクセス ポリシーの名前(必須)と説明(任意)を入力します。

[Policy Name] は、4 ~ 32 文字の文字列で、スペースは使用できません。

DAP の [Description] フィールドには 80 文字まで入力できます。

ステップ 5 [ACL Priority] フィールドで、そのダイナミック アクセス ポリシーのプライオリティを設定します。

セキュリティ アプライアンスは、ここで設定した順序でアクセス ポリシーを適用します。数が大きいほどプライオリティは高くなります。有効値の範囲は 0 ~ 2147483647 です。デフォルト値は 0 です。

ステップ 6 [Add/Edit AAA Attributes] フィールドのドロップダウン リスト(ラベルなし)で、ユーザがこのダイナミック アクセス ポリシーを使用するには、すべてのエンドポイント属性を満たすことに加えて、ここで設定される AAA 属性値のいずれか([ANY])またはすべて([ALL])が必要となるのか、それとも一切不要([NONE])であるのかを選択します。

重複するエントリは許可されません。AAA またはエンドポイント属性なしの DAP レコードを設定すると、ASAは常にそのレコードを選択します。これは、そのレコードがすべての選択基準を満たすことになるからです。

ステップ 7 AAA の属性を設定するには、[AAA Attributes] フィールドの [Add] または [Edit] をクリックします。次に示す手順を使用します。詳細については、「DAP での AAA 属性の設定」を参照してください。

ステップ 8 次に示す手順を使用して、エンドポイント属性を DAP ポリシーに 追加 するか 編集 します。

「DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加」

「DAP へのアプリケーション属性の追加」

「DAP へのモバイル ポスチャ属性の追加」

「DAP へのファイル エンドポイント属性の追加」

「DAP へのデバイス エンドポイント属性の追加」

「DAP への NAC エンドポイント属性の追加」

「DAP へのオペレーティング システム エンドポイント属性の追加」

「DAP へのパーソナル ファイアウォール エンドポイント属性の追加」

「DAP へのポリシー エンドポイント属性の追加」

「DAP へのプロセス エンドポイント属性の追加」

「DAP へのレジストリ エンドポイント属性の追加」

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。エンドポイント属性のそれぞれに対してこの値を設定するには、[Logical Op.] ボタンをクリックします。

ステップ 9 [Advanced] フィールドには、上の [AAA] 領域および [Endpoint] 領域で入力可能な属性以外の AAA またはエンドポイントの属性を設定する論理式を 1 つ以上入力できます。この機能を使用するには、 Lua プログラミング言語 の知識が必要です。

[AND/OR]:基本的な選択ルールと、ここで入力する論理式との関係を定義します。つまり、すでに設定されている AAA 属性およびエンドポイント属性に新しい属性を追加するのか、またはそれら設定済みの属性に置き換えるのかを指定します。デフォルトは AND です。

[Logical Expressions]:それぞれのタイプのエンドポイント属性のインスタンスを複数設定できます。新しい AAA またはエンドポイント選択属性を定義する自由形式の Lua を入力します。ASDM は、ここで入力されるテキストの検証を行わず、単にこのテキストを DAP XML ファイルにコピーします。ASAがそれを処理し、解析不能な式があれば破棄します。

[Guide]:クリックすると、この論理演算の作成に関するオンライン ヘルプが表示されます。または、「LUA を使用して DAP 論理式を作成するためのガイド」を参照してください。

ステップ 10 ネットワーク/Web-type ACL、ファイル ブラウジング、ファイル サーバ入力、HTTP プロキシ、URL 入力、ポート転送リスト、および URL リストを設定するには、[Access Policy Attributes] の各フィールドで値を設定します。ここで設定する属性値は、既存のユーザ、グループ、トンネル グループ、およびデフォルトのグループ レコードを含め、AAA システムの認可値を上書きします。詳細については、「DAP アクセスと許可ポリシー属性の設定」を参照してください。

ステップ 11 [OK] をクリックします。


 


ヒント 作成したダイナミック アクセス ポリシーをテストするには、[Configure Dynamic Access Policies] ダイアログボックスの [Test Dynamic Access Policies] をクリックし、テスト インターフェイスに属性を追加します。「ダイナミック アクセス ポリシーのテスト」を参照してください。

ダイナミック アクセス ポリシーのテスト

図 69-3 [Test Dynamic Access Policies] ペイン

 

このペインでは、認可属性値のペアを指定することによって、デバイスで設定される DAP レコード セットが取得されるかどうかをテストできます。属性値のペアを指定するには、[AAA Attribute] テーブルと [Endpoint Attribute] テーブルに関連づけられた [Add/Edit] ボタンを使用します。[Add/Edit] ボタンをクリックすると表示されるダイアログは、[Add/Edit AAA Attributes] ウィンドウと [Add/Edit Endpoint Attributes] ダイアログボックスに表示されるダイアログに似ています。

属性値のペアを入力して [Test] ボタンをクリックすると、デバイス上の DAP サブシステムはこれらの値を参照して、各レコードの AAA およびエンドポイント選択属性を評価します。結果は、[Test Results] テキスト領域に表示されます。

フィールド

[Selection Criteria]:ダイナミック アクセス ポリシーを取得するときにテストする AAA 属性とエンドポイント属性を決定します。

AAA の属性

[AAA Attribute]:AAA 属性を特定します。

[Operation Value]:属性を指定された値に対して =/!= として指定します。

[Add/Edit]:AAA 属性を追加または編集します。

[Endpoint Attributes]:エンドポイント属性を特定します。

[Endpoint ID]:エンドポイント属性 ID を入力します。

[Name/Operation/Value]:

[Add/Edit/Delete]:エンドポイント属性を追加、編集、または削除します。

[Test Result]:テスト結果を表示します。

[Test]:設定したポリシーが取得されることをテストします。

[Close]:ペインを閉じます。

DAP と認証、許可、アカウンティング サービス

DAP は AAA サービスを補完します。用意されている認可属性のセットはかぎられていますが、それらの属性によって AAA で提供される認可属性を無効にできます。ASAは、ユーザの AAA 認可情報とセッションのポスチャ評価情報に基づいて DAP レコードを選択します。ASAは、この情報に基づいて複数の DAP レコードを選択でき、それらのレコードを集約して DAP 認可属性を作成します。

AAA 属性は、Cisco AAA 属性階層から、またはASAが RADIUS または LDAP サーバから受信する一式の応答属性セットから指定できます。DAP と AAA の詳細は、「 DAP での AAA 属性の設定」の項を参照してください。

DAP での AAA 属性の設定

図 69-4 に [Add AAA Attribute] ダイアログボックスを示します。

図 69-4 [Add AAA Attribute] ダイアログボックス

 

DAP レコードの選択基準として AAA 属性を設定するには、[Add/Edit AAA Attributes] ダイアログボックスで、使用する Cisco、LDAP、または RADIUS 属性を設定します。これらの属性は、入力する値に対して「=」または「!=」のいずれかに設定できます。各 DAP レコードに設定可能な AAA 属性の数に制限はありません。AAA 属性の詳細については、「 AAA 属性の定義」を参照してください。

フィールド

[AAA Attributes Type]:ドロップダウン リストを使用して、Cisco、LDAP、または RADIUS 属性を選択します。

[Cisco]:AAA 階層モデルに保存されているユーザ認可属性を参照します。DAP レコードの AAA 選択属性に、これらのユーザ認可属性の小規模なサブセットを指定できます。次の属性が含まれます。

[Group Policy]:VPN ユーザ セッションに関連付けられているグループ ポリシー名を示します。セキュリティ アプライアンスでローカルに設定するか、IETF クラス(25)属性として RADIUS/LDAP から送信します。最大 64 文字です。

[IP Address]:フル トンネル VPN クライアント(IPsec、L2TP/IPsec、SSL VPN AnyConnect)に割り当てられた IP アドレス。クライアントレス SSL VPN には適用されません。クライアントレス セッションにはアドレスの割り当てがないからです。

[Connection Profile]:コネクションまたはトネリングのグループ名。最大 64 文字です。

[Username]:認証されたユーザのユーザ名。最大 64 文字です。ローカル認証、RADIUS 認証、LDAP 認証のいずれかを、またはその他の認証タイプ(RSA/SDI、NT Domain などのいずれかを使用している場合に適用されます。

[=/!=]:と等しい/と等しくない

[LDAP]:LDAP クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ LDAP 応答属性値のペアを保存します。LDAP クライアントでは、受信した順に応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードとグループ レコードの両方が LDAP サーバから読み込まれると、このシナリオが発生する場合があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

Active Directory グループ メンバーシップをサポートするために、AAA LDAP クライアントでは、LDAP memberOf 応答属性に対する特別な処理が行われます。AD memberOf 属性は、AD 内のグループ レコードの DN 文字列を指定します。グループの名前は、DN 文字列内の最初の CN 値です。LDAP クライアントでは、DN 文字列からグループ名を抽出して、AAA memberOf 属性として格納し、応答属性データベースに LDAP memberOf 属性として格納します。LDAP 応答メッセージ内に追加の memberOf 属性が存在する場合、それらの属性からグループ名が抽出され、前の AAA memberOf 属性と結合されて、グループ名がカンマで区切られた文字列が生成されます。この文字列は応答属性データベース内で更新されます。

LDAP 認証/認可サーバへの VPN リモート アクセス セッションが次の 3 つの Active Directory グループ(memberOf 列挙)のいずれかを返す場合は、次の通りとなります。

cn=Engineering,ou=People,dc=company,dc=com

cn=Employees,ou=People,dc=company,dc=com

cn=EastCoastast,ou=People,dc=company,dc=com

ASA は、Engineering、Employees、EastCoast の 3 つの Active Directory グループを処理します。これらのグループは、aaa.ldap の選択基準としてどのような組み合わせでも使用できます。

LDAP 属性は、DAP レコード内の属性名と属性値のペアで構成されています。LDAP 属性名は、構文に従う必要があり、大文字、小文字を区別します。たとえば、AD サーバが部門として返す値の代わりに、LDAP 属性の Department を指定した場合、DAP レコードはこの属性設定に基づき一致しません。


) [Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に、例を示します。

eng;sale; cn=Audgen VPN,ou=USERS,o=OAG


[RADIUS]:RADIUS クライアントは、ユーザの AAA セッションに関連付けられたデータベースにあるすべてのネイティブ RADIUS 応答属性値のペアを保存します。RADIUS クライアントは、受け取った順序で応答属性をデータベースに書き込みます。その名前の後続の属性はすべて廃棄されます。ユーザ レコードおよびグループ レコードの両方が RADIUS サーバから読み込まれた場合、このシナリオが発生する可能性があります。ユーザ レコード属性が最初に読み込まれ、グループ レコード属性よりも常に優先されます。

RADIUS 属性は、DAP レコード内の属性番号と属性値のペアで構成されています。セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。


) RADIUS 属性について、DAP は Attribute ID = 4096 + RADIUS ID と定義します。

次に、例を示します。

RADIUS 属性「Access Hours」の Radius ID は 1 であり、したがって DAP 属性値は 4096 + 1 = 4097 となります。

RADIUS 属性「Member Of」の Radius ID は 146 であり、したがって DAP 属性値は 4096 + 146 = 4242 となります。


LDAP および RADIUS 属性には、次の値があります。

[Attribute ID]:属性の名前/番号。最大 64 文字です。

[Value]:属性名(LDAP)または数値(RADIUS)。

[Value] フィールドに複数の値を入力するには、セミコロン(;)をデリミタとして使用します。次に、例を示します。

eng;sale; cn=Audgen VPN,ou=USERS,o=OAG

[=/!=]:と等しい/と等しくない

LDAP には、[Get AD Groups] ボタンが含まれます。このボタンは、Active Directory LDAP サーバに対して、ユーザが属するグループのリスト(memberOf 列挙)の問い合わせを実行します。CLI の show-ad-groups コマンドをバックグランドで実行し、AD グループを取得します。

show ad-groups コマンドは、LDAP を使用し Active Directory サーバだけに適用されます。このコマンドを使用して、ダイナミック アクセス ポリシー AAA 選択基準に使用できる AD グループを表示します。

ASAがサーバからの応答を待機するまでのデフォルト時間は 10 秒です。この時間は、AAA サーバ ホスト コンフィギュレーション モードで group-search-timeout コマンドを使用して調整できます。


) Active Directory サーバにあるグループが多数である場合、show ad-groups コマンドの出力結果はサーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、filter オプションを使用して、サーバからレポートされるグループ数を減らします。


Active Directory グループの取得

図 69-5 に、[Selected AD Server Group] ペインの [Retrieve AD Groups] を示します。

図 69-5 [Retrieve AD Groups] ダイアログボックス

 

Active Directory サーバにクエリーを実行し、このペインで利用可能な AD グループを問い合わせることができます。この機能は、LDAP を使用している Active Directory サーバだけに適用されます。このグループ情報を使用し、ダイナミック アクセス ポリシーの AAA 選択基準を指定します。

[Edit AAA Server] ペインで Group Base DN を変更し、Active Directory 階層の中で検索を開始するレベルを変更できます。ウィンドウ内で、ASAがサーバの応答を待つ時間も変更できます。これらの機能を設定するには、
[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Edit AAA Server] の順に選択します。


) Active Directory サーバにあるグループが多数である場合、取得した AD グループのリストはサーバが応答パケットに含めることのできるデータ量の制限に従い切り捨てられることがあります。この問題を回避するには、フィルタ機能を使用して、サーバから返されるグループの数を減らしてください。


フィールド

[AD Server Group]:AD グループを取得する AAA サーバ グループ名。

[Filter By]:表示されるグループを減らすために、グループ名またはグループ名の一部を指定します。

[Group Name]:サーバから取得された AD グループのリスト。

AAA 属性の定義

表 69-2 に、DAP で使用できる AAA 選択属性名の定義を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] セクションで使用します。

 

表 69-2 DAP で使用する AAA 選択属性

属性タイプ
属性名
ソース
ストリングの最大長
説明

Cisco

aaa.cisco.grouppolicy

AAA

ストリング

64

ASA上にある、または RADIUS/LDAP サーバから IETF-CLass (25) 属性として送信されたグループ ポリシー名

aaa.cisco.ipaddress

AAA

数値

-

フル トンネル VPN クライアントに割り当てられた IP アドレス(IPsec、L2TP/IPsec、SSL VPN AnyConnect)

aaa.cisco.tunnelgroup

AAA

ストリング

64

接続プロファイル(トンネル グループ)の名前

aaa.cisco.username

AAA

ストリング

64

認証されたユーザの名前(ローカル認証や認可を使用している場合に適用)

LDAP

aaa.ldap.< label >

LDAP

ストリング

128

LDAP 属性値ペア

RADIUS

aaa.radius.<number>

RADIUS

ストリング

128

RADIUS 属性値ペア

セキュリティ アプライアンスがサポートする RADIUS 属性の一覧を示す表については、「 セキュリティ アプライアンスがサポートする RADIUS の属性と値 」を参照してください。

DAP で使用されるエンドポイント属性の設定

エンドポイント属性には、エンドポイント システム環境、ポスチャ評価結果、およびアプリケーションに関する情報が含まれています。ASA は、エンドポイント属性の集合をセッション確立時に動的に生成し、セッションに関連付けられたデータベースにその属性を保存します。各 DAP レコードに設定可能なエンドポイント属性の数に制限はありません。

各 DAP レコードには、ASAが DAP レコードを選択するために満たす必要があるエンドポイント選択属性が指定されます。ASAは、設定されたすべての条件を満たす DAP レコードだけを選択します。

エンドポイント属性の詳細については、「 エンドポイント属性の定義」を参照してください。

DAP レコードの選択基準としてエンドポイント属性を設定することは、 ダイナミック アクセス ポリシーの設定という大きなプロセスの一部です。DAP でのエンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

この項では、次の手順について説明します。

「DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加」

「DAP へのアプリケーション属性の追加」

「DAP へのモバイル ポスチャ属性の追加」

「DAP へのファイル エンドポイント属性の追加」

「DAP へのデバイス エンドポイント属性の追加」

「DAP への NAC エンドポイント属性の追加」

「DAP へのオペレーティング システム エンドポイント属性の追加」

「DAP へのパーソナル ファイアウォール エンドポイント属性の追加」

「DAP へのポリシー エンドポイント属性の追加」

「DAP へのプロセス エンドポイント属性の追加」

「DAP へのレジストリ エンドポイント属性の追加」

図 69-6 に、[Add Endpoint Attributes] ダイアログボックスを示します。

図 69-6 [Add Endpoint Attributes] ダイアログボックス

 

DAP へのアンチスパイウェア/アンチウイルス エンドポイント属性の追加

前提条件

アンチスパイウェアとアンチウイルスのエンドポイント属性を DAP レコード設定基準として設定するのは、別の大きなプロセスの一部です。Anti-Spyware および Anti-Virus のエンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match Any] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Anti-Spyware] または [Anti-Virus] を選択します。

ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。

ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のアンチスパイウェアまたはアンチウイルスのベンダーの名前をクリックします。

ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 6 [Last Update] チェックボックスをオンにします。最後の更新からの日数を指定します。更新を、ここで入力した日数よりも早く([<])実行するか、遅く([>])実行するかを指定できます。

ステップ 7 [OK] をクリックします。

ステップ 8 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

アンチスパイウェア アンチウイルス のエンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

ホスト スキャンがアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールの各メモリ常駐型プログラムをチェックする方法については、「DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム」を参照してください。

DAP へのアプリケーション属性の追加

前提条件

DAP レコードの選択基準としてアプリケーション エンドポイント属性を設定することは、別の大きなプロセスの一部です。アプリケーション エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match Any] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Application] を選択します。

ステップ 2 [Client Type] の操作フィールドで、[=](等しい)または [!=](等しくない)を選択します。

ステップ 3 [Client type] リスト ボックスで、テスト対象のリモート アクセス接続のタイプを指定します。

ステップ 4 [OK] をクリックします。

ステップ 5 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

アプリケーション エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのモバイル ポスチャ属性の追加

ライセンシング

モバイル ポスチャを活用するには、AnyConnect Mobile ライセンスと、AnyConnect Essentials ライセンスまたは AnyConnect Premium ライセンスが ASA にインストールされている必要があります。インストールしたライセンスに基づいて、次の機能を使用できます。

AnyConnect Premium ライセンス機能

AnyConnect Premium ライセンスをインストールする企業は、DAP 属性およびその他の既存のエンドポイント属性に基づいて、サポート対象モバイル デバイスに DAP ポリシーを適用できます。これには、モバイル デバイスからのリモート アクセスの許可または拒否が含まれます。

AnyConnect Essentials ライセンス機能

AnyConnect Essentials ライセンスをインストールする企業は、次の操作を実行できます。

ASDM を使用してグループ単位でのモバイル デバイス アクセスをイネーブルまたはディセーブルにして、この機能を設定します。

CLI または ASDM を使用して接続モバイル デバイスに関する情報を表示します(ただし、DAP ポリシーを適用したり、これらのモバイル デバイスへのリモート アクセスを拒否/許可したりする機能はありません)。

前提条件

DAP レコードの選択基準としてモバイル ポスチャ属性を設定することは、別の大きなプロセスの一部です。Anti-Spyware および Anti-Virus のエンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

モバイル ポスチャ属性をダイナミック アクセス ポリシーに組み込むと、エンドポイントにホスト スキャンや Cisco Secure Desktop がエンドポイントにインストールされていなくても適用できます。

モバイル ポスチャ属性が意味を持つのは、モバイル デバイス上で実行されている AnyConnect クライアントに対してのみです。

モバイル ポスチャ属性とアプリケーション属性をダイナミック アクセス ポリシーの中で指定するときは、この両方を AnyConnect に設定する必要があります。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [AnyConnect] を選択します。

ステップ 2 [Client Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Client Version] フィールドで AnyConnect クライアント バージョン番号を指定します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のクライアント バージョンを評価することができます。

ステップ 3 [Platform] チェックボックスをオンにして、等しい(=)または等しくない(!=)を操作フィールドで選択してから、[Platform] リスト ボックスでオペレーティング システムを選択します。

このフィールドを使用すると、モバイル デバイス(携帯電話やタブレットなど)のオペレーティング システムを評価できるほか、デスクトップやラップトップ デバイスのオペレーティング システムも評価できます。プラットフォームとして [Apple iOS] または [Android] を選択すると、追加の属性フィールドである [Device Type] と [Device Unique ID] が使用可能になります。

ステップ 4 [Platform Version] チェックボックスをオンにして、等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)を操作フィールドで選択してから、[Platform Version] フィールドでオペレーティング システム バージョン番号を指定します。

作成する DAP レコードにこの属性も含まれるようにするには、前の手順でプラットフォームも必ず指定してください。

ステップ 5 [Platform] チェックボックスをオンにしてプラットフォームとして [Apple iOS] または [Android] を選択した場合は、[Device Type] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、モバイル デバイスを [Device Type] フィールドで選択します。

[Platform] フィールドで [Android] を指定した場合は、[Device Type] フィールドで、サポートされる Android デバイスのリストから選択できます。[Platform] フィールドで [Apple iOS] を指定した場合は、[Device Type] フィールドで、サポートされる Apple デバイスのリストから選択できます。どちらの場合も、リスト ボックスで選択されるデバイス タイプは、Android または Apple iOS の正しいデバイス タイプ情報で置き換えられます。

サポートされるデバイスであるにもかかわらず、[Device Type] フィールドのリストに表示されていない場合は、Android または Apple iOS デバイス タイプの情報を [Device Type] フィールドに入力できます。デバイス タイプ情報を入手する最も確実な方法は、AnyConnect クライアントをエンドポイントにインストールして DAP トレースを実行することです。DAP トレースの結果の中で、 endpoint.anyconnect.devicetype の値を見つけます。この値を [Device Type] フィールドに入力する必要があります。

ステップ 6 [Platform] チェックボックスをオンにしてプラットフォームとして [Apple iOS] または [Android] を選択した場合は、[Device Unique ID] チェックボックスをオンにすることができます。等しい(=)または等しくない(!=)を操作フィールドで選択してから、モバイル デバイスの一意の ID を [Device Unique ID] フィールドに入力します。

[Device Unique ID] によって個々のデバイスが区別されるので、特定のモバイル デバイスに対するポリシーを設定できます。デバイスの一意の ID を取得するには、そのデバイスを ASA に接続して DAP トレースを実行する必要があります。詳細については、「DAP トレースの実行」を参照してください。

ステップ 7 [OK] をクリックします。

ステップ 8 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

AnyConnect エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのファイル エンドポイント属性の追加

前提条件

DAP レコードの選択基準としてファイル エンドポイント属性を設定することは、別の大きなプロセスの一部です。ファイル エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ファイル エンドポイント属性を設定する前に、どのファイルをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択します。詳細については、そのページの [Help] をクリックしてください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match All] がデフォルトで使用されます。

手順の詳細

特に記載のない限り、必要なのは 1 つの AnyConnect 属性を [Add Endpoint Attribute] フィールドで設定することだけです。


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [File] を選択します。

ステップ 2 [Exists] と [Does not exist] のオプション ボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものを選択します。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のファイル エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

ファイルの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4 [Last Update] チェックボックスをオンにしてから、更新日からの日数が指定の値よりも小さい(<)と大きい(>)のどちらを条件とするかを操作フィールドで選択します。更新日からの日数を [days] フィールドに入力します。

ステップ 5 [Checksum] チェックボックスをオンにしてから、テスト対象ファイルのチェックサム値と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 6 [Compute CRC32 Checksum ] をクリックすると、テスト対象のファイルのチェックサム値が計算されます。

ステップ 7 [OK] をクリックします。

ステップ 8 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

ファイル エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのデバイス エンドポイント属性の追加

前提条件

DAP レコードの選択基準としてデバイス エンドポイント属性を設定することは、別の大きなプロセスの一部です。デバイス エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match Any] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Device] を選択します。

ステップ 2 [Host Name] チェックボックスをオンにしてから、テスト対象デバイスのホスト名と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。完全修飾ドメイン名(FQDN)ではなく、コンピュータのホスト名のみを使用します。

ステップ 3 [MAC address] チェックボックスをオンにしてから、テスト対象のネットワーク インターフェイス カードの MAC アドレスと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。1 つのエントリにつき MAC アドレスは 1 つだけです。アドレスのフォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

ステップ 4 [BIOS Serial Number] チェックボックスをオンにしてから、テスト対象のデバイスの BIOS シリアル番号と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。数値フォーマットは、製造業者固有です。フォーマット要件はありません。

ステップ 5 [Port Number] チェックボックスをオンにしてから、テスト対象のリスニング状態の TCP ポートと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。1 回線ごとに 1 つのポートを定義できます。

ステップ 6 [Privacy Protection] チェックボックスをオンにしてから、CSD によるプリログイン ポリシーの実行に使用されるコンポーネントと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 7 [Version of Secure Desktop (CSD)] チェックボックスをオンにしてから、エンドポイント上で実行されるホスト スキャン イメージのバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 8 [Version of Endpoint Assessment] チェックボックスをオンにしてから、テスト対象のエンドポイント アセスメント(OPSWAT)のバージョンと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 9 [OK] をクリックします。

ステップ 10 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

デバイス エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP への NAC エンドポイント属性の追加

前提条件

DAP レコードの選択基準として NAC エンドポイント属性を設定することは、別の大きなプロセスの一部です。NAC エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match Any] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [NAC] を選択します。

ステップ 2 [Posture Status] チェックボックスをオンにしてから、ACS によって受信されるポスチャ トークン文字列と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。ポスチャ トークン文字列を [Posture Status] テキスト ボックスに入力します。

ステップ 3 [OK] をクリックします。

ステップ 4 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

NAC エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのオペレーティング システム エンドポイント属性の追加

前提条件

DAP レコードの選択基準として オペレーティング システム エンドポイント属性を設定することは、別の大きなプロセスの一部です。オペレーティング システム エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Operating System] を選択します。

ステップ 2 [OS Version] チェックボックスをオンにしてから、[OS Version] リスト ボックスで設定するオペレーティング システム(Windows、Mac、または Linux)と等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 3 [OS Update] チェックボックスをオンにしてから、[OS Update] テキスト ボックスに入力する Windows、Mac、または Linux オペレーティング システムのサービス パックと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。

ステップ 4 [OK] をクリックします。

ステップ 5 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

オペレーティング システム エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのパーソナル ファイアウォール エンドポイント属性の追加

前提条件

DAP レコードの選択基準として パーソナル ファイアウォール エンドポイント属性を設定することは、別の大きなプロセスの一部です。パーソナル ファイアウォール エンドポイントの属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで、[Operating System] を選択します。

ステップ 2 適切なボタン [Enabled]、[Disabled]、または [Not Installed] をクリックして、選択したエンドポイント属性とそれに付随する修飾子([Enabled]/[Disabled]/[Not Installed] ボタンの下のフィールド)をイネーブルにするか、ディセーブルにするか、またはインストールしないかを指定します。

ステップ 3 [Vendor ID] リスト ボックスで、テスト対象のパーソナル ファイアウォール ベンダーの名前をクリックします。

ステップ 4 [Product Description] チェックボックスをオンにして、テストするベンダーの製品名をリスト ボックスから選択します。

ステップ 5 [Version] チェックボックスをオンにして、操作フィールドを、[Version] リスト ボックスで選択した製品バージョン番号に等しい(=)、等しくない(!=)、より小さい(<)、より大きい(>)、以下(<=)、または以上(>=)に設定します。

[Version] リスト ボックスで選択したバージョンに x が付いている場合(たとえば 3.x)は、この x を具体的なリリース番号で置き換えます(たとえば 3.5)。

ステップ 6 [OK] をクリックします。

ステップ 7 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

パーソナル ファイアウォール エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

ホスト スキャンがアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォールの各メモリ常駐型プログラムをチェックする方法については、「DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム」を参照してください。

DAP へのポリシー エンドポイント属性の追加

前提条件

DAP レコードの選択基準として ポリシー エンドポイント属性を設定することは、別の大きなプロセスの一部です。 ポリシー エンドポイント属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match Any] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Policy] を選択します。

ステップ 2 [Location] チェックボックスをオンにしてから、Cisco Secure Desktop Microsoft Windows ロケーション プロファイルと等しい(=)または等しくない(!=)のどちらを条件とするかを操作フィールドで選択します。Cisco Secure Desktop Microsoft Windows ロケーション プロファイル文字列を [Location] テキスト ボックスに入力します。

ステップ 3 [OK] をクリックします。

ステップ 4 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

ポリシー エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのプロセス エンドポイント属性の追加

前提条件

DAP レコードの選択基準として [Process] エンドポイント属性を設定することは、大きなプロセスの一部です。パーソナル ファイアウォール エンドポイントの属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

プロセス エンドポイント属性を設定する前に、どのプロセスをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択します。詳細については、そのページの [Help] をクリックしてください。

ガイドライン

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match All] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Process] を選択します。

ステップ 2 [Exists] [Does not exist] のボタンでは、選択したエンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のエンドポイント ID をドロップダウン リストから選択します。

エンドポイント ID プロセス情報がリスト ボックスの下に表示されます。

ステップ 4 [OK] をクリックします。

ステップ 5 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

プロセス エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP へのレジストリ エンドポイント属性の追加

前提条件

DAP レコードの選択基準として [Process] エンドポイント属性を設定することは、大きなプロセスの一部です。パーソナル ファイアウォール エンドポイントの属性を設定する前に、「ダイナミック アクセス ポリシーの設定」を参照してください。

レジストリ エンドポイント属性を設定する前に、どのレジストリ キーをスキャンするかを Cisco Secure Desktop の [Host Scan] ウィンドウで定義します。ASDM で、[Configuration] > [Remote Access VPN] > [Secure Desktop Manager] > [Host Scan] の順に選択します。詳細については、そのページの [Help] をクリックしてください。

ガイドライン

レジストリ エンドポイント属性のスキャンができるのは Windows オペレーティング システム上のみです。

各タイプのエンドポイント属性のインスタンスを複数作成できます。これらのタイプごとに、ユーザがあるタイプのインスタンスのすべてを持つように DAP ポリシーで要求する(Match all = AND)のか、またはそれらのインスタンスを 1 つだけ持つように要求する(Match Any = OR)のかを決定する必要があります。

この値を設定するには、エンドポイント属性のすべてのインスタンスを定義してから、[Logical Op.] ボタンをクリックし、[Match Any] または [Match All] ボタンを選択します。論理演算を指定しない場合は、[Match All] がデフォルトで使用されます。

手順の詳細


ステップ 1 [Endpoint Attribute Type] リスト ボックスで [Registry] を選択します。

ステップ 2 [Exists] [Does not exist] のボタンでは、 レジストリ エンドポイント属性とそれに付随する修飾子([Exists]/[Does not exist] ボタンの下にあるフィールド)が存在する必要があるかどうかに応じて、該当するものをクリックします。

ステップ 3 [Endpoint ID] リスト ボックスで、スキャン対象のレジストリ エントリに等しいエンドポイント ID をドロップダウン リストから選択します。

レジストリの情報が [Endpoint ID] リスト ボックスの下に表示されます。

ステップ 4 [Value] チェックボックスをオンにしてから、操作フィールドで等しい(=)または等しくない(!=)を選択します。

ステップ 5 最初の [Value] リスト ボックスで、レジストリ キーが dword か文字列かを指定します。

ステップ 6 2 つ目の [Value] 操作リスト ボックスに、スキャン対象のレジストリ キーの値を入力します。

ステップ 7 スキャン時にレジストリ エントリの大文字と小文字の違いを無視するには、[Caseless] チェックボックスをオンにします。検索時に大文字と小文字を区別するには、[Caseless] チェックボックスをオフにしてください。

ステップ 8 [OK] をクリックします。

ステップ 9 「ダイナミック アクセス ポリシーの設定」に戻ります。


 

その他の参考資料

レジストリ エンドポイント属性の要件の詳細については、「エンドポイント属性の定義」を参照してください。

DAP とアンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラム

セキュリティ アプライアンスは、ユーザ属性が、設定済みの AAA 属性およびエンドポイント属性に一致する場合に DAP ポリシーを使用します。Cisco Secure Desktop のプリログイン評価モジュールおよびホスト スキャン モジュールは、設定済みエンドポイント属性の情報をセキュリティ アプライアンスに返し、DAP サブシステムでは、その情報に基づいてそれらの属性値に一致する DAP レコードを選択します。

アンチウイルス、アンチスパイウェア、およびパーソナル ファイアウォール プログラムのほとんど(すべてではなく)は、アクティブ スキャンをサポートしています。つまり、それらのプログラムはメモリ常駐型であり、常に動作しています。ホスト スキャンは、エンドポイントにプログラムがインストールされているかどうか、およびそのプログラムがメモリ常駐型かどうかを、次のようにしてチェックします。

インストールされているプログラムがアクティブ スキャンをサポートしない場合、ホスト スキャンはそのソフトウェアの存在をレポートします。DAP システムは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがイネーブルになっている場合、ホスト スキャンはそのソフトウェアの存在をレポートします。この場合も、セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択します。

インストールされているプログラムがアクティブ スキャンをサポートしており、そのプログラムでアクティブ スキャンがディセーブルになっている場合、ホスト スキャンはそのソフトウェアの存在を無視します。セキュリティ アプライアンスは、そのプログラムを指定する DAP レコードを選択しません。さらに、そのプログラムがインストールされているとしても、DAP についての情報が多く含まれる debug trace コマンドの出力にはプログラムの存在が示されません。

エンドポイント属性の定義

表 69-3 に DAP で使用可能なエンドポイント選択属性名の定義を示します。属性名フィールドは、Lua 論理式での各属性名の入力方法を示しており、[Add/Edit Dynamic Access Policy] ペインの [Advanced] エリアで使用します。 label 変数は、アプリケーション、ファイル名、プロセス、またはレジストリ エントリを示します。

 

表 69-3 エンドポイント属性の定義

属性タイプ
属性名
ソース
ストリングの最大長
説明

アンチスパイウェア(Cisco Secure Desktop が必要)

endpoint.as[" label "].exists

ホスト スキャン

true

--

アンチスパイウェア プログラムが存在する

endpoint.as[" label "].version

ストリング

32

バージョン

endpoint.as[" label "].description

ストリング

128

アンチスパイウェアの説明

endpoint.as[" label "].lastupdate

整数

--

アンチスパイウェア定義を更新してからの経過時間(秒)

ウイルス対策

(Cisco Secure Desktop が必要)

endpoint.av[" label "].exists

ホスト スキャン

true

--

アンチウイルス プログラムが存在する

endpoint.av[" label "].version

ストリング

32

バージョン

endpoint.av[" label "].description

ストリング

128

アンチウイルスの説明

endpoint.av[" label "].lastupdate

整数

--

アンチウイルス定義を更新してからの経過時間(秒)

AnyConnect

(Cisco Secure Desktop やホスト スキャンは必要ありません)

endpoint.anyconnect.clientversion

エンドポイント

version

--

AnyConnect クライアントのバージョン。

endpoint.anyconnect.platform

ストリング

--

AnyConnect クライアントがインストールされているオペレーティング システム。

endpoint.anyconnect.platformversion

version

64

AnyConnect クライアントがインストールされているオペレーティング システムのバージョン。

endpoint.anyconnect.devicetype

ストリング

64

AnyConnect クライアントがインストールされているモバイル デバイスのタイプ。

endpoint.anyconnect.deviceuniqueid

caseless

64

AnyConnect クライアントがインストールされているモバイル デバイスの一意の ID。

アプリケーション

endpoint.application.clienttype

アプリケーション

ストリング

--

クライアント タイプ:

CLIENTLESS

ANYCONNECT

IPSEC

L2TP

デバイス

endpoint.device.hostname

エンドポイント

ストリング

64

ホスト名のみ。FQDN ではありません。

endpoint.device.MAC

ストリング

フォーマットは xxxx.xxxx.xxxx であることが必要です。x は 16 進数文字です。

ネットワーク インターフェイス カードの MAC アドレス。1 つのエントリにつき MAC アドレスは 1 つだけです。

endpoint.device.id

ストリング

64

BIOS シリアル番号。数値フォーマットは、製造業者固有です。フォーマット要件はありません。

endpoint.device.port

ストリング

1 ~ 65535 の整数。

リスニング状態の TCP ポート。1 回線ごとに 1 つのポートを定義できます。

endpoint.device.protection

なし(ホスト スキャン)

Secure Desktop(キャッシュ クリーナまたは Vault)

64

CSD のどのコンポーネントを特定のプリログイン ポリシーに対して実行するかを定義します。

endpoint.device.protection_version

ストリング

64

実行されるホスト スキャン イメージのバージョン。

endpoint.device.protection_extension

ストリング

64

Endpoint Assessment(OPSWAT)のバージョン

ファイル

endpoint.file[" label "].exists

Secure Desktop

true

--

ファイルが存在する

endpoint.file["label"].endpointid

endpoint.file[" label "].lastmodified

整数

--

ファイルが最後に変更されてからの経過時間(秒)

endpoint.file[" label "].crc.32

整数

--

ファイルの CRC32 ハッシュ

NAC

endpoint.nac.status

NAC

ストリング

--

ユーザ定義ステータス ストリング

オペレーティング システム

endpoint.os.version

Secure Desktop

ストリング

32

オペレーティング システム

endpoint.os.servicepack

整数

--

Windows のサービス パック

Personal Firewall

(Secure Desktop が必要)

endpoint.fw[" label "].exists

ホスト スキャン

true

--

パーソナル ファイアウォールが存在する

endpoint.fw[" label "].version

ストリング

32

バージョン

endpoint.fw[" label "].description

ストリング

128

パーソナル ファイアウォールの説明

ポリシー

endpoint.policy.location

Secure Desktop

ストリング

64

Cisco Secure Desktop からのロケーション値

プロセス

endpoint.process[" label "].exists

Secure Desktop

true

--

プロセスが存在する

endpoint.process[" label "].path

ストリング

255

プロセスのフル パス

Registry

endpoint.registry[" label "].type

Secure Desktop

dword
ストリング

--

dword

endpoint.registry[" label "].value

ストリング

255

レジストリ エントリの値

VLAN

endoint.vlan.type

CNA

ストリング

--

VLAN タイプ:

ACCESS
AUTH
ERROR
GUEST
QUARANTINE
ERROR
STATIC
TIMEOUT

DAP アクセスと許可ポリシー属性の設定

DAP のアクセスと許可ポリシーの属性を設定するには、各タブをクリックしてフィールドで設定を行います。

[Action] タブ:特定の接続またはセッションに適用される特別な処理を指定します。

[Continue]:(デフォルト)セッションにアクセス ポリシー属性を適用します。

[Quarantine]:検疫を使用すると、すでに VPN 経由でトンネルを確立した特定のクライアントを制限できます。ASA は、制限付き ACL をセッションに適用して制限付きグループを形成します。この基になるのは、選択された DAP レコードです。管理目的で定義されたポリシーにエンドポイントが準拠していないときも、ユーザは修復のためのサービス(たとえばアンチウイルス アプリケーションのアップデート)にアクセスできますが、そのユーザには制限が適用されます。修復後、ユーザは再接続できます。この再接続により、新しいポスチャ アセスメントが起動されます。このアセスメントに合格すると、接続されます。


) このパラメータを使用するには、AnyConnect セキュア モビリティ機能をサポートしている AnyConnect リリースが必要です。


[Terminate]:セッションを終了します。

[User Message]:この DAP レコードが選択されるときに、ポータル ページに表示するテキスト メッセージを入力します。最大 128 文字を入力できます。ユーザ メッセージは、黄色のオーブとして表示されます。ユーザがログインすると、メッセージは 3 回点滅してから静止します。数件の DAP レコードが選択され、それぞれにユーザ メッセージがある場合は、ユーザ メッセージがすべて表示されます。


) このようなメッセージには、URL やその他の埋め込みテキストを含めることができます。この場合は、正しい HTML タグを使用する必要があります。

例:すべてのコントラクタは、ご使用のアンチウイルス ソフトウェアのアップグレード手順について、<a href='http://wwwin.abc.com/procedure.html'> Instructions</a> を参照してください。


[Network ACL Filters] タブ:この DAP レコードに適用するネットワーク ACL を選択および設定できます。DAP の ACL には、許可ルールまたは拒否ルールを含めることができますが、両方を含めることはできません。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASAはその ACL を拒否します。

[Network ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みのネットワーク ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。

[Manage...]:ネットワーク ACL を追加、編集、および削除するときにクリックします。

[Network ACL] リスト:この DAP レコードのネットワーク ACL が表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択したネットワーク ACL が右側の [Network ACLs] リストに追加されます。

[Delete]:クリックすると、強調表示されているネットワーク ACL が [Network ACLs] リストから削除されます。ASAから ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Web-Type ACL Filters (clientless)] タブ:この DAP レコードに適用する Web-type ACL を選択および設定できます。DAP の ACL には、許可または拒否ルールだけを含めることができます。ACL に許可ルールと拒否ルールの両方が含まれている場合、ASAはその ACL を拒否します。

[Web-Type ACL] ドロップダウン リスト:この DAP レコードに追加する、設定済みの Web-type ACL を選択します。すべての許可ルールまたはすべての拒否ルールを含む ACL だけが適格とされ、これらの適格な ACL だけがここに表示されます。

[Manage...]:Web-type ACL を追加、編集、および削除するときにクリックします。

[Web-Type ACL] リスト:この DAP レコードの Web-type ACL が表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択した Web-type ACL が右側の [Web-Type ACLs] リストに追加されます。

[Delete]:クリックすると、Web-type ACL の 1 つが [Web-Type ACLs] リストから削除されます。ASAから ACL を削除するには、まず DAP レコードからその ACL を削除する必要があります。

[Functions] タブ:DAP レコードのファイル サーバ入力とブラウジング、HTTP プロキシ、および URL 入力を設定できます。

[File Server Browsing]:ファイル サーバまたは共有機能の CIFS ブラウジングをイネーブルまたはディセーブルにします。


) ブラウズには、NBNS(マスター ブラウザまたは WINS)が必要です。NBNS に障害が発生した場合や、NBNS が設定されていない場合は、DNS を使用します。

CIFS ブラウズ機能では、国際化がサポートされていません。


[File Server Entry]:ポータル ページでユーザがファイル サーバのパスおよび名前を入力できるようにするかどうかを設定します。イネーブルになっている場合、ポータル ページにファイル サーバ エントリのドロワが配置されます。ユーザは、Windows ファイルへのパス名を直接入力できます。ユーザは、ファイルをダウンロード、編集、削除、名前変更、および移動できます。また、ファイルおよびフォルダを追加することもできます。適用可能な Windows サーバでユーザ アクセスに対して共有を設定する必要もあります。ネットワークの要件によっては、ユーザがファイルへのアクセス前に認証を受ける必要があることもあります。

[HTTP Proxy]:クライアントへの HTTP アプレット プロキシの転送に関与します。このプロキシは、適切なコンテンツ変換に干渉するテクノロジー(Java、ActiveX、Flash など)に対して有用です。このプロキシによって、セキュリティ アプライアンスの使用を継続しながら、マングリングを回避できます。転送されたプロキシは、自動的にブラウザの古いプロキシ コンフィギュレーションを変更して、すべての HTTP および HTTPS 要求を新しいプロキシ コンフィギュレーションにリダイレクトします。HTTP アプレット プロキシでは、HTML、CSS、JavaScript、VBScript、ActiveX、Java など、ほとんどすべてのクライアント側テクノロジーがサポートされています。サポートされているブラウザは、Microsoft Internet Explorer だけです。

[URL Entry]:ポータル ページでユーザが HTTP/HTTPS URL を入力できるようにするかどうかを設定します。この機能がイネーブルになっている場合、ユーザは URL エントリ ボックスに Web アドレスを入力できます。また、クライアントレス SSL VPN を使用して、これらの Web サイトにアクセスできます。

SSL VPN を使用しても、すべてのサイトとの通信が必ずしもセキュアになるとはかぎりません。SSL VPN は、企業ネットワーク上のリモート ユーザの PC やワークステーションとASAとの間のデータ転送のセキュリティを保証するものです。したがって、ユーザが HTTPS 以外の Web リソース(インターネット上や内部ネットワーク上にあるもの)にアクセスする場合、企業のASAから目的の Web サーバまでの通信はセキュアではありません。

クライアントレス VPN 接続では、ASAはエンド ユーザの Web ブラウザとターゲット Web サーバとの間のプロキシとして機能します。ユーザが SSL 対応 Web サーバに接続すると、ASAはセキュアな接続を確立し、SSL 証明書を検証します。エンド ユーザ ブラウザでは提示された証明書を受信しないため、証明書を調査して検証することはできません。SSL VPN の現在の実装では、期限切れになった証明書を提示するサイトとの通信は許可されません。また、ASAは、信頼できる CA 証明書の検証も実行しません。このため、ユーザは、SSL 対応の Web サーバと通信する前に、そのサーバにより提示された証明書を分析することはできません。

ユーザのインターネット アクセスを制限するには、[Disable for the URL Entry] フィールドを選択します。これにより、SSL VPN ユーザがクライアントレス VPN 接続中に Web サーフィンできないようにします。

[Unchanged]:(デフォルト)クリックすると、このセッションに適用されるグループ ポリシーからの値が使用されます。

[Enable/Disable]:機能をイネーブルにするかディセーブルにするかを指定します。

[Auto-start]:クリックすると HTTP プロキシがイネーブルになり、これらの機能に関連付けられたアプレットが DAP レコードによって自動的に起動するようになります。

[Port Forwarding Lists] タブ:ユーザ セッションのためのポート転送リストを選択して設定できます。

ポート転送によりグループ内のリモート ユーザは、既知の固定 TCP/IP ポートで通信するクライアント/サーバ アプリケーションにアクセスできます。リモート ユーザは、ローカル PC にインストールされたクライアント アプリケーションを使用して、そのアプリケーションをサポートするリモート サーバに安全にアクセスできます。シスコでは、Windows Terminal Services、Telnet、Secure FTP(FTP over SSH)、Perforce、Outlook Express、および Lotus Notes についてテストしています。その他の TCP ベースのアプリケーションの一部も機能すると考えられますが、シスコではテストしていません。


) ポート転送は、一部の SSL/TLS バージョンでは使用できません。



注意 ポート転送(アプリケーション アクセス)およびデジタル証明書をサポートする Sun Microsystems Java Runtime Environment(JRE)1.4+ がリモート コンピュータにインストールされていることを確認します。

[Port Forwarding]:この DAP レコードに適用されるポート転送リストのオプションを選択します。このフィールドのその他の属性は、[Port Forwarding] を [Enable] または [Auto-start] に設定した場合にだけイネーブルになります。

[Unchanged]:クリックすると、属性が実行コンフィギュレーションから削除されます。

[Enable/Disable]:ポート転送をイネーブルにするかディセーブルにするかを指定します。

[Auto-start]:クリックするとポート転送がイネーブルになり、DAP レコードのポート転送リストに関連付けられたポート転送アプレットが自動的に起動するようになります。

[Port Forwarding List] ドロップダウン リスト:DAP レコードに追加する、設定済みのポート転送リストを選択します。

[New...]:新規のポート転送リストを設定するときにクリックします。

[Port Forwarding Lists](ラベルなし):DAP レコードのポート転送リストが表示されます。

[Add]:クリックすると、ドロップダウン リストで選択したポート転送リストが右側のポート転送リストに追加されます。

[Delete]:クリックすると、選択されているポート転送リストがポート転送リストから削除されます。 ASAからポート転送リストを削除するには、まず DAP レコードからそのリストを削除する必要があります。

[Bookmarks] タブ:特定のユーザ セッション URL のブックマークを選択して設定できます。

[Enable bookmarks]:クリックするとイネーブルになります。 このチェックボックスがオフのときは、接続のポータル ページにブックマークは表示されません。

[Bookmark] ドロップダウン リスト:DAP レコードに追加する、設定済みのブックマークを選択します。

[Manage...]:ブックマークを追加、インポート、エクスポート、削除するときにクリックします。

[Bookmarks] (ラベルなし):この DAP レコードの URL リストが表示されます。

[Add>>]:クリックすると、ドロップダウン リストで選択したブックマークが右側の URL 領域に追加されます。

[Delete]:クリックすると、選択されているブックマークが URL リスト領域から削除されます。ブックマークを ASA から削除するには、初めにそのブックマークを DAP レコードから削除する必要があります。

[Access Method] タブ:許可するリモート アクセスのタイプを設定できます。

[Unchanged]:現在のリモート アクセス方式を引き続き使用します。

[AnyConnect Client]:Cisco AnyConnect VPN クライアントを使用して接続します。

[Web-Portal]:クライアントレス VPN で接続します。

[Both-default-Web-Portal]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトはクライアントレスです。

[Both default AnyConnect Client]:クライアントレスまたは AnyConnect クライアントを介して接続します。デフォルトは AnyConnect です。

[AnyConnect] タブ:Always-on VPN フラグのステータスを選択できます。

[Always-On VPN for AnyConnect client]:AnyConnect サービス プロファイル内の Always-on VPN フラグ設定を未変更にするか、ディセーブルにするか、AnyConnect プロファイル設定を使用するかを指定します。


) このパラメータを使用するには、Cisco IronPort Web セキュリティ アプライアンスのリリースが、Cisco AnyConnect VPN クライアントに対してセキュア モビリティ ソリューション ライセンシングをサポートしている必要があります。また、AnyConnect のリリースが、「セキュア モビリティ ソリューション」の機能をサポートしている必要もあります。詳細については、『Cisco AnyConnect VPN Client Administrator Guide』を参照してください。



 

DAP トレースの実行

DAP トレースを実行すると、すべての接続済みデバイスの DAP エンドポイント属性を表示できます。

前提条件

SSH ターミナルから ASA にログオンして特権 EXEC モードを開始します。ASA の特権 EXEC モードでは、表示されるプロンプトは hostname# となります。

手順の詳細

 

コマンド
目的

ステップ 1

debug dap trace

 

Example

hostname# debug dap trace

DAP デバッグをイネーブルにします。セッションのすべての DAP 属性がターミナル ウィンドウに表示されます。

出力例:

これは、debug dap trace コマンドを実行した結果の出力のごく一部です。

endpoint.anyconnect.clientversion="0.16.0021";

endpoint.anyconnect.platform="apple-ios";

endpoint.anyconnect.platformversion="4.1";

endpoint.anyconnect.devicetype="iPhone1,2";

endpoint.anyconnect.deviceuniqueid="dd13ce3547f2fa1b2c3d4e5f6g7h8i9j0fa03f75";

その他の参考資料

DAP トレースの出力を検索するには、コマンドの出力をシステム ログに送ります。ASA でのロギングの詳細については、『 Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 』の「 Configuring Logging 」を参照してください。

LUA を使用して DAP 論理式を作成するためのガイド

この項では、AAA またはエンドポイント属性の論理式の作成方法について説明します。論理式を作成するには、Lua(www.lua.org)についての高度な知識が必要になります。

[Advanced] フィールドに、AAA またはエンドポイント選択論理演算を表す自由形式の Lua テキストを入力します。ASDM は、ここで入力されるテキストを検証せず、このテキストを単に DAP ポリシー ファイルにコピーするだけです。ASAがそれを処理し、解析不能な式があれば破棄されます。

このオプションは、上の説明にある AAA およびエンドポイントの属性領域で指定可能な基準以外の選択基準を追加する場合に有効です。たとえば、指定された条件のいずれかまたはすべてを満たす、あるいはいずれも満たさない AAA 属性を使用するようにASAを設定できます。エンドポイント属性は累積され、すべて満たす必要があります。セキュリティ アプライアンスで 1 つのエンドポイント属性または別の属性を使用できるようにするには、Lua で適切な論理式を作成してここで入力する必要があります。

論理式を作成する場合の正しい名前の構文を含む AAA 選択属性のリストについては、 表 69-1 を参照してください。

論理式を作成する場合の正しい名前の構文を含むエンドポイント選択属性のリストについては、 表 69-3 を参照してください。

次の各項では、Lua EVAL 式作成の詳細と、例を示します。

Lua EVAL 式を作成する構文

DAP EVAL 式の作成

DAP CheckAndMsg 関数

単一アンチウイルス プログラムのチェック

過去 10 日以内のアンチウイルス定義のチェック

ユーザ PC 上の Hotfix のチェック

アンチウイルス プログラムのチェック

アンチウイルス プログラムと、1 日半以上経過した定義のチェック

追加の Lua 機能

OU ベースの一致例

グループ メンバーシップの例

アンチウイルスの例

アンチスパイウェアの例

ファイアウォールの例

アンチウイルス、アンチスパイウェア、またはすべてのファイアウォールの例

CheckAndMsg をカスタム関数で使用した例

Lua の詳細情報

Lua EVAL 式を作成する構文

この項では、Lua EVAL 式を作成する構文について説明します。


) [Advanced] モードを使用する必要がある場合は、プログラムを直接的に検証することが可能になり、明確になるため、できるだけ EVAL 式を使用することをお勧めします。


EVAL(< attribute > , <comparison>, {< value > | < attribute >}, [<type>])

 

<attribute>

AAA 属性、または Cisco Secure Desktop から返された属性。属性の定義については、 表 69-1 および 表 69-3 を参照してください。

<comparison>

次の文字列のいずれか(引用符が必要)

"EQ"

等しい

"NE"

等しくない

"LT"

より小さい

"GT"

より大きい

"LE"

以下

"GE"

以上

<value>

引用符で囲まれ、属性と比較する値を含む文字列

<type>

次の文字列のいずれか(引用符が必要)

"string"

大文字、小文字を区別する文字列の比較

"caseless"

大文字、小文字を区別しない文字列の比較

"integer"

数値比較で、文字列値を数値に変換

"hex"

16 進数を用いた数値比較で、16 進数の文字列を 16 進数に変換

"version"

X.Y.Z の形式でバージョンを比較 X、Y、Z はいずれも数値

EVAL(endpoint.os.version, "EQ", "Windows XP", "string")

DAP EVAL 式の作成

Lua で論理式を作成する場合は、これらの例を参考にしてください。

このエンドポイント式は、CLIENTLESS または CVC クライアント タイプに一致するかどうかをテストします。

(EVAL(endpoint.application.clienttype,”EQ”,"CLIENTLESS") or
EVAL(endpoint.application.clienttype, “EQ”,"CVC"))
 

このエンドポイント式は、Norton Antivirus バージョン 10.x かどうかをテストしますが、10.5.x は除外します。

(EVAL(endpoint.av[“NortonAV”].version, “GE”, "10",”version”) and (EVAL(endpoint.av[“NortonAV”].version,”LT”, "10.5", “version”) or EVAL(endpoint.av[“NortonAV”].version, “GE”, "10.6", “version”)))

DAP CheckAndMsg 関数

CheckAndMsg は、DAP がコールするように設定可能な Lua 関数です。条件に基づきユーザ メッセージを生成します。

DAP の [Advanced] フィールドで、CheckAndMsg を使用するように ASDM を設定できます。ASAは、Lua CheckAndMsg 関数が選択されており、結果がクライアントレス SSL VPN または AnyConnect のターミネーションとなるときだけに、メッセージをユーザに表示します。

CheckAndMsg 関数の構文は以下の通りです。

CheckAndMsg(value, “<message string if value is true>”, “<message string if value if false>”)
 

CheckAndMsg 関数の作成時には、以下の点に注意してください。

CheckAndMsg は、最初の引数として渡された値を返します。

文字列比較を使用したくない場合、EVAL 関数を最初の引数として使用してください。次に、例を示します。

(CheckAndMsg((EVAL(...)) , "true msg", "false msg"))
 

CheckandMsg は EVAL 関数の結果を返し、セキュリティ アプライアンスは DAP レコードを選択すべきかどうかを判断するのにその結果を使用します。レコードが選択された結果、ターミネーションとなった場合、セキュリティ アプライアンスは適切なメッセージを表示します。

単一アンチウイルス プログラムのチェック

この例では、単一アンチウイルス プログラム(ここでは McAfee)がユーザの PC にインストールされているかどうかを確認します。インストールされていない場合はメッセージを表示します。

(CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].exists,"NE","true"),"McAfee AV was not found on your computer", nil))

過去 10 日以内のアンチウイルス定義のチェック

この例では、過去 10 日(864000 秒)以内のアンチウイルス定義をチェックします。特に、McAfee AV dat ファイルの最終更新を確認し、適切な更新を行っていないユーザには通知するメッセージを表示します。

((CheckAndMsg(EVAL(endpoint.av[“McAfeeAV”].lastupdate,"GT","864000","integer"),"AV Update needed! Please wait for the McAfee AV till it loads the latest dat file.",nil) ))

ユーザ PC 上の Hotfix のチェック

この例では、特定の Hotfix を確認します。ユーザの PC 上に Hotfix がない場合、インストールされていないことを示すメッセージが表示されます。

(not CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"EQ","true"),nil,"The required hotfix is not installed on your PC."))
 

または、以下のように定義できます(よりわかりやすい方法)。

(CheckAndMsg(EVAL(endpoint.os.windows.hotfix["KB923414"],"NE","true"),"The required hotfix is not installed on your PC.",nil))
 

debug dap トレースが返されるため、この例では式を作成できます。

endpoint.os.windows.hotfix["KB923414"] = "true";

アンチウイルス プログラムのチェック

アンチウイルス プログラムがない場合、または実行していない場合も、ユーザが問題に気づき、修正できるようにメッセージを設定できます。これにより、アクセスが拒否されても、ASAは「ターミネーション」状態の原因となったすべてのメッセージを DAP から収集し、ブラウザのログイン ページに表示します。アクセスが許可された場合、ASAはポータル ページの DAP 評価プロセスで生成されたすべてのメッセージを表示します。

次の例は、Norton Antivirus プログラムのチェックでこの機能を使用する方法を示します。


ステップ 1 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

(CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "EQ", "false"),"Your Norton AV was found but the active component of it was not enabled", nil) or CheckAndMsg(EVAL(endpoint.av[“NortonAV”].exists, "NE", "true"),"Norton AV was not found on your computer", nil) )
 

ステップ 2 同じ [Advanced] フィールドで、[OR] ボタンをクリックします。

ステップ 3 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

ステップ 4 Norton Antivirus がインストールされていないか、無効になっている PC から接続します。

予測される結果は、接続が許可されず、 かつ メッセージが点滅する ! で表示されます。

ステップ 5 点滅する ! をクリックして、 メッセージを表示します。


 

アンチウイルス プログラムと、1 日半以上経過した定義のチェック

この例では、Norton または McAfee のアンチウイルス プログラムが存在するかどうか、また、ウイルス定義が 1 日半(10,000 秒)以内のものであるかどうかを確認します。定義が 1 日半以上経過している場合、ASAはセッションを終了し、メッセージと、修正するためのリンクを表示します。このタスクを完了するには、次の手順を実行します。


ステップ 1 次の Lua 式をコピーし、[Add/Edit Dynamic Access Policy] ペインの [Advanced] フィールドに貼り付けます(右端にある二重矢印をクリックして、フィールドを展開します)。

((EVAL(endpoint.av["NortonAV"].exists,"EQ","true","string") and CheckAndMsg(EVAL(endpoint.av["NortonAV"].lastupdate,"GT","10000",integer"),To remediate <a href='http://www.symantec.com'>Click this link </a>",nil)) or
(EVAL(endpoint.av["McAfeeAV"].exists,"EQ","true","string") and CheckAndMsg(EVAL(endpoint.av["McAfeeAV"].lastupdate,"GT","10000",integer"),To remediate <a href='http://www.mcafee.com'>Click this link</a>",nil))

 

ステップ 2 同じ [Advanced] フィールドで、[AND] をクリックします。

ステップ 3 下の [Access Attributes] セクションの一番左の [Action] タブで、[Terminate] をクリックします。

ステップ 4 Norton または McAfee のアンチウイルス プログラムがインストールされており、バージョンが 1 日半以上前のものである PC から接続します。

予測される結果は、接続が許可されず、 かつ メッセージが点滅する ! で表示されます。

ステップ 5 点滅する ! をクリックして、 メッセージと、修復のためのリンクを表示します。


 

追加の Lua 機能

クライアントレス SSL VPN のダイナミック アクセス ポリシーで作業している場合、一致基準に高度な柔軟性が必要とされることが考えられます。たとえば、以下に従い別の DAP を適用しなければならない場合があります。

組織ユニット(OU)またはユーザ オブジェクトの他の階層のレベル

命名規則にしたがっているものの、一致する可能性が高いグループ名。グループ名ではワイルドカードを使用したほうが良い場合があります。

ASDM の [DAP] ペイン内の [Advanced] セクションで Lua 論理式を作成し、この柔軟性を実現できます。

OU ベースの一致例

DAP は、論理式で LDAP サーバから返される多数の属性を使用できます。DAP トレースの項で出力例を参照するか、debug dap トレースを実行してください。

LDAP サーバはユーザの認定者名(DN)を返します。これは、ディレクトリ内のどの部分にユーザ オブジェクトがあるかを暗黙的に示します。たとえば、ユーザの DN が CN=Example User,OU=Admins,dc=cisco,dc=com である場合、このユーザは OU=Admins,dc=cisco,dc=com に存在します。すべての管理者がこの OU(または、このレベル以下のコンテナ)に存在する場合、以下のように、この基準に一致する論理式を使用できます。

assert(function()
if ( (type(aaa.ldap.distinguishedName) == "string") and
(string.find(aaa.ldap.distinguishedName, "OU=Admins,dc=cisco,dc=com$") ~= nil) ) then
return true
end
return false
end)()
 

この例では、string.find 関数で正規表現を使用できます。文字列の最後に $ を使用し、この文字列から distinguishedName フィールドの最後へのアンカーをつけます。

グループ メンバーシップの例

AD グループ メンバーシップのパターン照合のために、基本論理式を作成できます。ユーザが複数のグループのメンバーであることが考えられるため、DAP は LDAP サーバからの応答を表内の別々のエントリへと解析します。以下を実行するには、高度な機能が必要です。

memberOf フィールドを文字列として比較する(ユーザが 1 つのグループだけに所属している場合)。

返されたそれぞれの memberOf フィールドで繰り返し処理し、返されたデータが「table」タイプであるかどうかを確認する。

そのために記述し、テストした関数を以下に示します。この例では、ユーザが「-stu」で終わるいずれかのグループのメンバーである場合、この DAP に一致します。

assert(function()
local pattern = "-stu$"
local attribute = aaa.ldap.memberOf
if ((type(attribute) == "string") and
(string.find(attribute, pattern) ~= nil)) then
return true
elseif (type(attribute) == "table") then
local k, v
for k, v in pairs(attribute) do
if (string.find(v, pattern) ~= nil) then
return true
end
end
end
return false
end)()

アンチウイルスの例

次の例は、CSD がアンチウイルス ソフトウェアを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチスパイウェアの例

次の例は、CSD がアンチスパイウェア ソフトウェアを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.as) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

ファイアウォールの例

次の例は、CSD がファイアウォールを検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
for k,v in pairs(endpoint.fw) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
return false
end)()

アンチウイルス、アンチスパイウェア、 または すべてのファイアウォールの例

次の例は、CSD がアンチウイルス、アンチスパイウェアまたはファイアウォールのいずれかの存在を検知したかどうかを確認するためにカスタム関数を使用しています。

assert(function()
function check(antix)
if (type(antix) == "table") then
for k,v in pairs(antix) do
if (EVAL(v.exists, "EQ", "true", "string")) then
return true
end
end
end
return false
end
return (check(endpoint.av) or check(endpoint.fw) or check(endpoint.as))
end)()

CheckAndMsg をカスタム関数で使用した例

アンチウイルス プログラムが存在しない場合のアクセスを拒否するために、次の関数を使用できます。ターミネーションを実行するためのアクションが設定されている DAP で使用します。

assert( function()
for k,v in pairs(endpoint.av) do
if (EVAL(v.exists, "EQ”, "true", "string")) then
return false
end
end
return CheckAndMsg(true, "Please install antivirus software before connecting.", nil)
end)()
 

アンチウイルス プログラムがないユーザがログインしようとすると、DAP は次のメッセージを表示します。

Please install antivirus software before connecting.

Lua の詳細情報

Lua のプログラミングについての詳細は、以下を参照してください。
http://www.lua.org/manual/5.1/manual.html

Operator for Endpoint Category

各タイプのエンドポイントのインスタンスを複数設定できます。このペインでは、あるタイプのインスタンスを 1 つだけ必要とする(Match Any = OR)ように、またはあるタイプのインスタンスのすべてを持つ(Match All = AND)ように、各タイプのエンドポイントを設定します。

エンドポイント カテゴリの 1 つのインスタンスだけを設定する場合、値を設定する必要はありません。

一部のエンドポイント属性の場合は、複数のインスタンスを設定しても意味がありません。たとえば、複数の OS を実行するユーザがいない場合、

各エンドポイント タイプ内に [Match Any]/[Match All] 操作を設定するとします。

この場合、セキュリティ アプライアンスは、エンドポイント属性の各タイプを評価したあと、設定されたすべてのエンドポイントで論理 AND 演算を実行します。つまり、各ユーザは、AAA 属性だけでなく、設定したエンドポイントのすべての条件を満たす必要があります。

DAP の例

次の各項に、便利なダイナミック アクセス ポリシーの例を示します。

DAP を使用したネットワーク リソースの定義

DAP を使用した WebVPN ACL の適用

CSD チェックの強制と DAP によるポリシーの適用

DAP を使用したネットワーク リソースの定義

この例は、ユーザまたはグループのネットワーク リソースを定義する方法として、ダイナミック アクセス ポリシーを設定する方法を示しています。Trusted_VPN_Access という名前の DAP ポリシーは、クライアントレス VPN アクセスと AnyConnect VPN アクセスを許可します。Untrusted_VPN_Access という名前のポリシーは、クライアントレス VPN アクセスだけを許可します。 表 69-4 に、これらのポリシーそそれぞれのコンフィギュレーションをまとめています。

ASDM パスは、[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [Endpoint] です。

 

表 69-4 ネットワーク リソースの簡単な DAP コンフィギュレーション

属性
Trusted_VPN_Access
Untrusted_VPN_Access

Endpoint Attribute Type Policy

信頼できる

信頼できない

Endpoint Attribute Process

ieexplore.exe

--

Advanced Endpoint Assessment

AntiVirus= McAfee Attribute

CSD Location

信頼できる

信頼できない

LDAP memberOf

Engineering、Managers

ベンダー

ACL

Web-Type ACL

Access

AnyConnect および Web Portal

Web Portal

DAP を使用した WebVPN ACL の適用

DAP では、Network ACLs(IPsec および AnyConnect の場合)、Clientless SSL VPN Web-Type ACLs、URL リスト、および Functions を含め、アクセス ポリシー属性のサブセットを直接適用できます。グループ ポリシーが適用されるバナーまたはスプリット トンネル リストなどには、直接適用できません。[Add/Edit Dynamic Access Policy] ペインの [Access Policy Attributes] タブには、DAP が直接適用される属性の完全なメニューが表示されます。

Active Directory/LDAP は、ユーザ グループ ポリシー メンバーシップをユーザ エントリの「memberOf」属性として保存します。DAP は、AD グループ(memberOf)のユーザ = ASAが設定済み Web-Type ACL を適用する Engineering となるように定義できます。このタスクを完了するには、次の手順を実行します。


ステップ 1 [Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA 属性タイプとしては、ドロップダウン メニューを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 ペインの [Access Policy Attributes] 領域で、[Web-Type ACL Filters] タブをクリックします。

ステップ 6 [Web-Type ACL] ドロップダウン メニューを使用して、AD グループ(memberOf)= Engineering のユーザに適用する ACL を選択します。


 

CSD チェックの強制と DAP によるポリシーの適用

この例では、ユーザが 2 つの特定 AD/LDAP グループ(Engineering および Employees)と 1 つの特定 ASA トンネル グループに属することをチェックする DAP を作成します。その後、ACL をユーザに適用します。

DAP が適用される ACL により、リソースへのアクセスを制御します。それらの ACL は、ASAのグループ ポリシーで定義されるどの ACL よりも優先されます。またASAは、スプリット トンネリング リスト、バナー、および DNS など、DAP で定義または制御しない要素の通常の AAA グループ ポリシー継承ルールおよび属性を適用します。このタスクを完了するには、次の手順を実行します。


ステップ 1 [Add AAA Attributes] ペイン([Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Dynamic Access Policies] > [Add/Edit Dynamic Access Policy] > [AAA Attributes] セクション > [Add AAA Attribute])に移動します。

ステップ 2 AAA 属性タイプとしては、ドロップダウン メニューを使用して [LDAP] を選択します。

ステップ 3 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 4 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Engineering」と入力します。

ステップ 5 [Attribute ID] フィールドに、ここに示されるとおり「memberOf」と入力します。大文字と小文字の区別は重要です。

ステップ 6 [Value] フィールドで、ドロップダウン メニューを使用して [=] を選択し、隣のフィールドに「Employees」と入力します。

ステップ 7 AAA 属性タイプとしては、ドロップダウン メニューを使用して [Cisco] を選択します。

ステップ 8 [Tunnel] グループ ボックスをオンにし、ドロップダウン メニューを使用して [=] を選択し、隣のドロップダウン リストで適切なトンネル グループ(接続ポリシー)を選択します。

ステップ 9 [Access Policy Attributes] 領域の [Network ACL Filters] タブで、前のステップで定義した DAP 基準を満たすユーザに適用する ACL を選択します。