Cisco AnyConnect Secure Mobility Client 管理者ガイド リリース 2.5
AnyConnect を導入するためのセキュリティ アプライアンスの設定
AnyConnect を導入するためのセキュリティ アプライアンスの設定
発行日;2012/06/14 | 英語版ドキュメント(2012/03/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AnyConnect を導入するためのセキュリティ アプライアンスの設定

セキュリティ アプライアンスが AnyConnect を導入する方法

AnyConnect のインストール前作業

他のクライアントが存在するコンピュータへの AnyConnect のインストール

AnyConnect の自動インストール

信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

複数の AnyConnect イメージをロードする場合の接続時間の短縮方法

Internet Explorer の [Connections] タブのロック

AnyConnect トラフィックに対するネットワーク アドレス変換(NAT)の免除

AnyConnect をダウンロードするためのセキュリティ アプライアンスの設定

リモート ユーザへの AnyConnect ダウンロードの要求

追加機能で使用するモジュールのイネーブル化

Windows Mobile デバイスへの AnyConnect のインストール

64 ビット Linux への AnyConnect のインストール

Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用

AnyConnect Secure Mobility ソリューションの WSA をサポートするための ASA の設定

Add or Edit MUS Access Control

AnyConnect を導入するためのセキュリティ アプライアンスの設定

この章では、ASDM を使用して ASA を設定し、AnyConnect を導入する方法について説明します。CLI を使用して ASA を設定する方法については、『 Cisco 5500 Series Adaptive Security Appliance CLI Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

「セキュリティ アプライアンスが AnyConnect を導入する方法」

「AnyConnect のインストール前作業」

「AnyConnect をダウンロードするためのセキュリティ アプライアンスの設定」

「Windows Mobile デバイスへの AnyConnect のインストール」

「64 ビット Linux への AnyConnect のインストール」

「Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用」

「AnyConnect Secure Mobility ソリューションの WSA をサポートするための ASA の設定」

セキュリティ アプライアンスが AnyConnect を導入する方法

Cisco AnyConnect Secure Mobility Clientは、ASA へセキュアな SSL 接続をリモート ユーザに提供します。以前にインストールされたクライアントを持たないリモート ユーザは、クライアントレス SSL VPN 接続を許可するよう設定されたインターフェイスのブラウザに、IP アドレスまたは DNS 名を入力します。http:// リクエストを https:// リクエストにリダイレクトするよう ASA が設定されていない場合、ユーザは https://< address > 形式で URL を入力する必要があります。

URL が入力されると、ブラウザはそのインターフェイスに接続し、ログイン画面を表示します。ユーザがログインと認証に成功し、そのユーザが AnyConnect を要求していると ASA で識別されると、リモート コンピュータのオペレーティング システムに合うクライアントがダウンロードされます。ダウンロード後、クライアントがインストールおよび設定され、セキュア SSL 接続が確立されます。接続終了時にクライアントが維持されるか、アンインストールされるかは、ASAの設定で決まります。

以前にインストールされたクライアントの場合は、ユーザの認証時に ASA がクライアントのバージョンを調べて、必要に応じてクライアントをアップグレードします。

AnyConnect が ASA との SSL VPN 接続をネゴシエートするときに、Datagram Transport Layer Security(DTLS)を使用して接続しようとします。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。DTLS 接続を確立できない場合は、Transport Layer Security(TLS)にフォールバックします。

ASA は、接続を確立しているユーザのグループ ポリシーまたはユーザ名属性に基づき AnyConnect をダウンロードします。ASA を設定して自動的に AnyConnect をダウンロードしたり、AnyConnect をダウンロードするかどうかリモート ユーザに尋ねるよう設定したりできます。後者の場合、ユーザが応答しなかった場合は、タイムアウト時間が経過した後に AnyConnect をダウンロードするか、ログイン ページを表示するよう ASA を設定できます。

AnyConnect のインストール前作業

次の項では、AnyConnect を正しくインストールするための推奨事項に加えて、証明書、Cisco Security Agent(CSA)、信頼済みサイトの追加、ブラウザのアラートへの対処方法について説明します。

「AnyConnect の自動インストール」

「信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加」

「ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加」

「複数の AnyConnect イメージをロードする場合の接続時間の短縮方法」

「Internet Explorer の [Connections] タブのロック」

「AnyConnect トラフィックに対するネットワーク アドレス変換(NAT)の免除」

他のクライアントが存在するコンピュータへの AnyConnect のインストール

別のベンダーの VPN クライアントがすでに存在するコンピュータに AnyConnect クライアントをインストールできます。AnyConnect のインストールは他のクライアントと互換性があり、干渉することはありません。しかし、別のベンダーのクライアントの既存の VPN 接続から AnyConnect VPN 接続を確立しようとしても対応していないため、確立しようとすると予期しない結果になるおそれがあります。

AnyConnect の自動インストール

エンドポイント コンピュータの AnyConnect の自動インストールには、次の推奨事項および注意点が当てはまります。

AnyConnect のセットアップ中のユーザへのプロンプトを最小限にするには、次のようにクライアント PC と ASA の証明書データを一致させます。

ASA 上の証明書に対して Certificate Authority(CA; 認証局)を使用する場合は、クライアント マシンで信頼済み CA として設定された証明書を選択します。

ASA 上で自己署名証明書を使用する場合は、それを信頼済みルート証明書としてクライアントにインストールしておきます。

手順はブラウザによって異なります。この項の次の手順を参照してください。

ASA 証明書の Common Name(CN; 通常名)と、AnyConnect が接続に使用する名前が一致していることを確認します。デフォルトでは、ASA 証明書の CN フィールドは IP アドレスになっています。AnyConnect が DNS 名を使用する場合は、ASA 証明書の CN フィールドをその名前に変更します。

証明書に Subject Alternate Name(SAN)が含まれている場合、ブラウザは [Subject] フィールドの CN 値を無視し、SAN フィールドの DNS 名を調べます。

ユーザがホスト名を使用して ASA に接続する場合は、SAN に ASA のホスト名とドメイン名が含まれている必要があります。たとえば、SAN フィールドには次が含まれます。
DNS Name=hostname.domain.com .

ユーザが IP アドレスを使用して ASA に接続する場合は、SAN に ASA の IP アドレスが含まれている必要があります。たとえば、SAN フィールドには DNS Name=209.165.200.254 と入力されます。

AnyConnect のインストール中に、Cisco Security Agent(CSA)から警告が表示されることがあります。

現在出荷中の CSA バージョンには、AnyConnect と互換性のある組み込みルールがありません。CSA バージョン 5.0 以降を使用すると、次の手順により次のルールを作成できます。


ステップ 1 ルール モジュール「Cisco Secure Tunneling Client Module」で次の FACL を追加します。

Priority Allow, no Log, Description: “Cisco Secure Tunneling Browsers, read/write vpnweb.ocx”
Applications in the following class: “Cisco Secure Tunneling Client - Controlled Web Browsers”
Attempt: Read file, Write File
 

すべての @SYSTEM¥vpnweb.ocx ファイルで、次のことを行います。

ステップ 2 アプリケーション クラス「Cisco Secure Tunneling Client - Installation Applications」に次のプロセス名を追加します。

**¥vpndownloader.exe
@program_files¥**¥Cisco¥Cisco AnyConnect VPN Client¥vpndownloader.exe
 


 

Microsoft Internet Explorer(MSIE)ユーザは、信頼済みサイト リストに ASA を追加するか、Java をインストールすることをお勧めします。Java をインストールすると、ActiveX コントロールが有効になり、インストールにおけるユーザ操作が最小限で済みます。セキュリティが強化された Windows XP SP2 のユーザにとって、このことは特に重要です。ダイナミック導入機能を使用するため、Windows Vista ユーザは信頼済みサイトのリストにセキュリティ アプライアンスを追加する 必要 があります。詳細については、「信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加」を参照してください。


 

信頼済みサイトのリスト(IE)へのセキュリティ アプライアンスの追加

ASA を信頼済みサイトのリストに追加するには、Microsoft Internet Explorer を使用して、次の手順を実行します。


) WebLaunch を使用するため、これは Windows Vista で実行する必要があります。



ステップ 1 [Tools] > [Internet Options] を選択します。

[Internet Options] ウィンドウが開きます。

ステップ 2 [Security] タブをクリックします。

ステップ 3 [Trusted Sites] アイコンをクリックします。

ステップ 4 [Sites] をクリックします。

[Trusted Sites] ウィンドウが開きます。

ステップ 5 ASA のホスト名または IP アドレスを入力します。複数のサイトをサポートするため、https://*.yourcompany.com のようなワイルドカードを使用して、yourcompany.com ドメイン内のすべての ASA 5500 が使用できるようにします。

ステップ 6 [Add] をクリックします。

ステップ 7 [OK] をクリックします。

[Trusted Sites] ウィンドウが閉じます。

ステップ 8 [Internet Options] ウィンドウで [OK] をクリックします。


 

ブラウザの警告ウィンドウに対応するセキュリティ証明書の追加

ここでは、ブラウザの警告ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。

Microsoft Internet Explorer の [Security Alert] ウィンドウへの対応

ここでは、Microsoft Internet Explorer の [Security Alert] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Microsoft Internet Explorer で、信頼済みサイトとして認識されない ASA への接続が確立するときに開きます。[Security Alert] ウィンドウの上半分には、次のテキストが表示されます。

Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site's security certificate. The security certificate was issued by a company you have not chosen to trust. View the certificate to determine whether you want to trust the certifying authority.
 

次の手順にしたがって、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [Security Alert] ウィンドウの [View Certificate] をクリックします。

[Certificate] ウィンドウが開きます。

ステップ 2 [Install Certificate] をクリックします。

[Certificate Import Wizard Welcome] が開きます。

ステップ 3 [Next] をクリックします。

[Certificate Import Wizard - Certificate Store] ウィンドウが開きます。

ステップ 4 [Automatically select the certificate store based on the type of certificate] を選択します。

ステップ 5 [Next] をクリックします。

[Certificate Import Wizard - Completing] ウィンドウが開きます。

ステップ 6 [Finish] をクリックします。

ステップ 7 別の [Security Warning] ウィンドウで「Do you want to install this certificate?」というメッセージが表示されるので、[Yes] をクリックします。

[Certificate Import Wizard] ウィンドウに、インポートが成功したというメッセージが表示されます。

ステップ 8 [OK] をクリックして、このウィンドウを閉じます。

ステップ 9 [OK] をクリックして、[Certificate] ウィンドウを閉じます。

ステップ 10 [Yes] をクリックして、[Security Alert] ウィンドウを閉じます。

ASA のウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

Netscape、Mozilla、または Firefox の [Certified by an Unknown Authority] ウィンドウへの対応

ここでは、[Web Site Certified by an Unknown Authority] ウィンドウへの対応として、自己署名証明書を信頼済みルート証明書としてクライアントにインストールする方法について説明します。このウィンドウは、Netscape、Mozilla、または Firefox で、信頼済みサイトとして認識されない ASA への接続が確立するときに開きます。このウィンドウには、次のテキストが表示されます。

Unable to verify the identity of <Hostname_or_IP_address> as a trusted site.
 

次の手順にしたがって、信頼済みルート証明書として証明書をインストールします。


ステップ 1 [Web Site Certified by an Unknown Authority] ウィンドウの [Examine Certificate] をクリックします。

[Certificate Viewer] ウィンドウが開きます。

ステップ 2 [Accept this certificate permanently] オプションをクリックします。

ステップ 3 [OK] をクリックします。

ASA のウィンドウが開き、証明書が信頼されたというメッセージが表示されます。


 

複数の AnyConnect イメージをロードする場合の接続時間の短縮方法

複数の AnyConnect イメージを ASA にロードする場合は、リモート ユーザ数が最大のときに接続時間が最短になる順序で、イメージをロードする必要があります。

セキュリティ アプライアンスは、オペレーティング システムと一致するまで、AnyConnect イメージの一部をリモート コンピュータにダウンロードします。イメージのダウンロードは、リストの上から順に行われます。そのため、リモート コンピュータで最も頻繁に使用されているオペレーティング システムと一致するイメージを、リストの先頭に指定する必要があります。

モバイル ユーザは接続速度が遅いため、リストの先頭にある Windows Mobile の AnyConnect イメージをロードする必要があります。また、正規表現 Windows CE を指定して、Windows Mobile デバイスのユーザ エージェントを照合して、接続時間を短縮することもできます。モバイル デバイスのブラウザは ASA に接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。ASA は文字列を受信して、他の AnyConnect イメージが適切かどうかを確認せずに、すぐに AnyConnect for Windows Mobile をダウンロードします。

正規表現を指定するには、ASDM で次の手順を行います。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Settings] を選択します。

ステップ 2 AnyConnect イメージのリストで、Windows Mobile のイメージ パッケージを選択し、[Edit] をクリックします。

ステップ 3 [Regular expression to match user-agent] をクリックし、ドロップダウン リストで[Windows CE] を選択します。


 

Internet Explorer の [Connections] タブのロック

ある条件下では、AnyConnect によって Internet Explorer の [Tools] > [Internet Options] > [Connections] タブが非表示にされます。このタブが表示されている場合、ユーザはプロキシ情報を設定できます。このタブを非表示にすると、ユーザが意図的または偶発的にトンネルを迂回することを防止できます。タブのロックは接続解除すると反転され、このタブに関する管理者定義のポリシーの方が優先されます。このロックは、次のいずれかの条件で行われます。

ASA の設定で、プライベート側プロキシが指定されている。

AnyConnect が、Internet Explorer で定義されたパブリック側プロキシを使用してトンネルを確立する。この場合は、ASA のスプリット トンネリング ポリシーが [Tunnel All Networks] に設定されている必要があります。

AnyConnect トラフィックに対するネットワーク アドレス変換(NAT)の免除

ネットワーク アドレス変換(NAT)を実行するよう ASA が設定されている場合は、AnyConnect クライアント、内部ネットワーク、および DMZ 上の企業リソースが互いにネットワーク接続を開始できるよう、リモート アクセス AnyConnect クライアント トラフィックを変換の対象外にする必要があります。AnyConnect クライアント トラフィックを変換の対象外にできないと、AnyConnect クライアントおよび他の企業リソースが通信できなくなります。

「アイデンティティ NAT」(「NAT」免除とも呼ばれている)によりアドレスを自らに変換できます。これにより効果的に NAT が回避されます。アイデンティティ NAT は 2 つのアドレス プール、アドレス プールとサブネットワーク、または 2 つのサブネットワーク間で適用できます。

この手順は、例にあるネットワーク トポロジの次の仮定のネットワーク オブジェクト間でアイデンティティ NAT を設定する方法を示しています。それらは、Engineering VPN アドレス プール、Sales VPN アドレス プール、ネットワーク内、DMZ ネットワーク、およびインターネットです。アイデンティティ NAT 設定ではそれぞれ、NAT 規則が 1 つ必要です。

表 2-1 VPN クライアントのアイデンティティ NAT を設定するネットワーク アドレス アドレッシング

ネットワークまたはアドレス プール
ネットワーク名またはアドレス プール名
アドレス範囲

内部ネットワーク

inside-network

10.50.50.0 - 10.50.50.255

Engineering VPN アドレス プール

Engineering-VPN

10.60.60.1 - 10.60.60.254

Sales VPN アドレス プール

Sales-VPN

10.70.70.1 - 10.70.70.254

DMZ ネットワーク

DMZ-network

192.168.1.0 - 192.168.1.255


ステップ 1 ASDM にログインし、[Configuration] > [Firewall] > [NAT Rules] を選択します。

ステップ 2 Engineering VPN アドレス プールのホストが Sales VPN アドレス プールのホストに接続できるよう、NAT 規則を作成します。ASA が Unified NAT テーブルの他の規則の前にこの規則を評価するよう、[NAT Rules] ペインで、[Add] > [Add NAT Rule Before "Network Object" NAT rules] を選択します。[Add NAT rule] ダイアログボックスの例については、図 2-1 を参照してください。


) ASA ソフトウェア バージョン 8.3 では、NAT 規則の評価は上から下へ最初に一致したものに適用されます。いったんパケットが特定の NAT 規則と一致すると、それ以上評価は行われません。ASA が NAT 規則を早まって広範な NAT 規則に一致しないよう、Unified NAT テーブルの先頭に最も固有の NAT 規則を配置することが重要です。


図 2-1 [Add NAT rule] ダイアログ ボックス

 

a. [Match criteria: Original Packet] エリアで、次のフィールドを設定します。

[Source Interface:] Any

[Destination Interface:] Any

[Source Address:] [Source Address] ブラウズ ボタンをクリックし、Engineering VPN アドレス プールを表すネットワーク オブジェクトを作成します。オブジェクト タイプをアドレスの範囲として定義します。自動アドレス トランスレーション ルールは追加しないでください。例については、図 2-2 を参照してください。

[Destination Address:] [Destination Address] ブラウズ ボタンをクリックし、Sales VPN アドレス プールを表すネットワーク オブジェクトを作成します。オブジェクト タイプをアドレスの範囲として定義します。自動アドレス トランスレーション ルールは追加しないでください。

図 2-2 VPN アドレス プールのネットワーク オブジェクトの作成

 

b. [Action Translated Packet] エリアで、次のフィールドを設定します。

[Source NAT Type:] Static

[Source Address:] Original

[Destination Address:] Original

[Service:] Original

c. [Options] エリアで、次のフィールドを設定します。

[Enable rule] をオンにします。

[Translate DNS replies that match this rule] をオフにするか、空にしておきます。

[Direction:] Both

[Description:] 規則の説明を入力します。

d. [OK] をクリックします。

e. [Apply] をクリックします。規則は図 2-4 Unified NAT テーブルの規則 1 のようになるはずです。

CLI の例:

nat source static Engineering-VPN Engineering-VPN destination static Sales-VPN Sales-VPN

f. [Send] をクリックします。

ステップ 3 ASA が NAT を実行している場合、同じ VPNプール内の 2 つのホストが互いに接続できるよう、またはそれらのホストが VPN トンネル経由でインターネットに接続できるよう、[Enable traffic between two or more hosts connected to the same interface] オプションをイネーブルにする必要があります。これを行うには ASDM で、[Configuration] > [Device Setup] > [Interfaces] を選択します。[Interface] パネルの下の [Enable traffic between two or more hosts connected to the same interface] をオンにし、[Apply] をクリックします。

CLI の例:

same-security-traffic permit inter-interface

ステップ 4 Engineering VPN アドレス プールのホストが Engineering VPN アドレス プールの他のホストに接続できるよう、NAT 規則を作成します。ステップ 2 で規則を作成したときのようにこの規則を作成します。ただし、[Match criteria: Original Packet] エリアで Engineering VPN アドレス プールを送信元アドレスおよび宛先アドレス両方として指定します。

ステップ 5 Engineering VPN リモート アクセス クライアントが「内部」ネットワークに接続できるよう NAT 規則を作成します。この規則が他の規則の前に処理されるよう [NAT Rules] ペインで、[Add] > [Add NAT Rule Before "Network Object" NAT rules] を選択します。

a. [Match criteria: Original Packet] エリアで、次のフィールドを設定します。

[Source Interface:] Any

[Destination Interface:] Any

[Source Address:] [Source Address] ブラウズ ボタンをクリックし、内部ネットワークを表すネットワーク オブジェクトを作成します。オブジェクト タイプをアドレスのネットワークとして定義します。自動アドレス トランスレーション ルールは追加しないでください。

[Destination Address:] [Destination Address] ブラウズ ボタンをクリックし、Engineering VPN アドレス プールを表すネットワーク オブジェクトを選択します。

図 2-3 inside-network オブジェクトの追加

 

b. [Action Translated Packet] エリアで、次のフィールドを設定します。

[Source NAT Type:] Static

[Source Address:] Original

[Destination Address:] Original

[Service:] Original

c. [Options] エリアで、次のフィールドを設定します。

[Enable rule] をオンにします。

[Translate DNS replies that match this rule] をオフにするか、空にしておきます。

[Direction:] Both

[Description:] 規則の説明を入力します。

d. [OK] をクリックします。

e. [Apply] をクリックします。規則は図 2-4 Unified NAT テーブルの規則 2 のようになるはずです。

CLI の例

nat source static inside-network inside-network destination static Engineering-VPN Engineering-VPN

ステップ 6 ステップ 5 の方法にしたがって新しい規則を作成し、Engineering VPN アドレス プールと DMZ ネットワーク間の接続のアイデンティティ NAT を設定します。DMZ ネットワークを送信元アドレス、Engineering VPN アドレス プールを宛先アドレスとして使用します。

ステップ 7 新しい NAT 規則を作成して、Engineering VPN アドレス プールをトンネル経由にインターネットにアクセスできるようにします。この場合、アイデンティティ NAT は使用しません。送信元アドレスをプライベート アドレスからインターネット ルーティング可能なアドレスに変更するためです。この規則を作成するには、次の手順に従います。

a. この規則が他の規則の前に処理されるよう [NAT Rules] ペインで、[Add] > [Add NAT Rule Before "Network Object" NAT rules] を選択します。

b. [Match criteria: Original Packet] エリアで、次のフィールドを設定します。

[Source Interface:] Any

[Destination Interface:] Any [Action: Translated Packet] エリアの [Source Address] に [outside] を選択すると、このフィールドには自動的に「outside」が入力されます。

[Source Address:] [Source Address] ブラウズ ボタンをクリックし、Engineering VPN アドレス プールを表すネットワーク オブジェクトを選択します。

[Destination Address:] Any

 

c. [Action Translated Packet] エリアで、次のフィールドを設定します。

[Source NAT Type:] Dynamic PAT (Hide)

[Source Address:] [Source Address] ブラウズ ボタンをクリックし、outside インターフェイスを選択します。

[Destination Address:] Original

[Service:] Original

d. [Options] エリアで、次のフィールドを設定します。

[Enable rule] をオンにします。

[Translate DNS replies that match this rule] をオフにするか、空にしておきます。

[Direction:] Both

[Description:] 規則の説明を入力します。

e. [OK] をクリックします。

f. [Apply] をクリックします。規則は図 2-4 Unified NAT テーブルの規則 5 のようになるはずです。

CLI の例:

nat (any,outside) source dynamic Engineering-VPN interface

図 2-4 Unified NAT テーブル

 

ステップ 8 Engineering VPN アドレス プール、Sales VPN アドレス プール、内部ネットワーク、DMZ ネットワーク、およびインターネットに接続するよう Engineering VPN アドレス プールを設定した後、Sales VPN アドレス プールについて同じプロセスを繰り返す必要があります。アイデンティティ NAT を使用して、Sales VPN アドレス プール トラフィックが、Sales VPN アドレス プール、内部ネットワーク、DMZ ネットワーク、およびインターネット間のネットワーク アドレス変換の対象外となるようにします。

ステップ 9 ASA の [File] メニューで [Save Running Configuration to Flash] を選択し、アイデンティティ NAT 規則を実装します。


 

AnyConnect をダウンロードするためのセキュリティ アプライアンスの設定

ASA を準備して AnyConnect を導入するには、次の手順を実行します。


ステップ 1 Cisco AnyConnect Software Download の Web ページから最新の Cisco AnyConnect Secure Mobility Client パッケージをダウンロードします。

ステップ 2 Cisco AnyConnect Secure Mobility Client ファイルを SSL VPN クライアントとして指定します。[Configuration] > [Remote Access VPN] > [Network Access] > [Advanced] > [SSL VPN] > [Client Settings] を選択します。[SSL VPN Client Settings] パネルが表示されます(図 2-5)に AnyConnect イメージとしてクライアント ファイルがリストされています。この表に表示される順序は、ASA がリモート コンピュータにファイルをダウンロードする順序を反映しています。AnyConnect イメージを追加するには、[SSL VPN Client Images] エリアで [Add] をクリックします。Cisco.com からダウンロードしたファイルの名前を入力し、[Upload] をクリックします。イメージに移動することもできます。

図 2-5 AnyConnect イメージの指定

 

ステップ 3 (省略可能)Windows Mobile の AnyConnect パッケージを追加する場合、正規表現 Windows CE を指定して、Windows Mobile デバイスのユーザ エージェントを照合します。これにより、モバイル デバイスの接続時間を短縮できます。モバイル デバイスのブラウザは適応型セキュリティ アプライアンスに接続するときに、HTTP ヘッダーにユーザエージェント文字列を含めます。適応型セキュリティ アプライアンスは、文字列を受信して、他の AnyConnect イメージが適切かどうかを確認せずに、すぐに Windows Mobile 用の AnyConnect をダウンロードします。

ステップ 4 アドレスの割り当て方式を設定します

DHCP や、ユーザが割り当てたアドレス指定を使用できます。ローカル IP アドレス プールを作成し、そのプールをトンネル グループに割り当てる方法もあります。このガイドでは、一般的なアドレス プール方式を例として使用します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Address Assignment] > [Address Pools] を選択します(図 2-6)。[Add IP Pool] ウィンドウにアドレス プール情報を入力します。

図 2-6 [Add IP Pool] ダイアログ

 

ステップ 5 AnyConnect のダウンロードをイネーブルにし、接続プロファイルのアドレス プールを割り当てます。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] を選択します。(図 2-7)の矢印に従ってAnyConnectクライアントをイネーブルにしてから、アドレス プールを割り当てます。

図 2-7 AnyConnect のダウンロードのイネーブル化

 

ステップ 6 グループ ポリシーで許可された VPN トンネリング プロトコルとして SSL VPN を指定します。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。[Group Policies] パネルが表示されます。図 2-8 の矢印に従って、グループの SSL VPN をイネーブルにします。

図 2-8 トンネリング プロトコルとしての SSL VPN の指定

 


 

リモート ユーザへの AnyConnect ダウンロードの要求

リモート ユーザが最初にブラウザで接続している場合、デフォルトでは ASA は AnyConnect をダウンロードしません。ユーザの認証後、デフォルトのクライアントレス ポータル ページに [Start AnyConnect Client] ドロワーが表示され、ユーザが AnyConnect のダウンロードを選択できるようになっています。または、クライアントレス ポータル ページを表示することなく、すぐに AnyConnect をダウンロードするよう ASA を設定できます。

リモート ユーザにプロンプトを表示し、設定された時間内に AnyConnect をダウンロードするか、クライアントレス ポータル ページを表示するよう ASA を設定することもできます。

この機能は、グループ ポリシーまたはユーザに対して設定できます。このようなログイン設定を変更するには、次の手順に従ってください。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます(図 2-9)。

ステップ 2 ナビゲーション ペインで、[Advanced] > [SSL VPN Client] > [Login Settings] を選択します。[Post Login settings] が表示されます。必要に応じて [Inherit] チェックボックスを選択解除し、[Post Login setting] を選択します。

ユーザにプロンプトを表示する場合は、タイムアウト時間を指定し、その時間経過後のデフォルト動作を [Default Post Login Selection] エリアで選択します。

図 2-9 ログイン設定の変更

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

図 2-10 は、[Prompt user to choose] と [Download SSL VPN Client] を選択した場合に、リモート ユーザに表示されるプロンプトを示しています

図 2-10 リモート ユーザに表示されるログイン後プロンプト

 


 

追加機能で使用するモジュールのイネーブル化

AnyConnect で機能をイネーブルにすると、新機能を使用するため VPN エンドポイントのモジュールを更新する必要があります。ダウンロード時間を最小限に抑えるため、AnyConnect は、サポートされる各機能に必要なモジュールだけ(ASAから)ダウンロードするよう要求します。

新機能をイネーブルにするには、グループ ポリシーまたはユーザ名の設定の一部として、新しいモジュール名を指定する必要があります。グループ ポリシーのモジュール ダウンロードをイネーブルにするには、次の手順に従います。


ステップ 1 [Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] を選択します。グループ ポリシーを選択して、[Edit] をクリックします。[Edit Internal Group Policy] ウィンドウが表示されます(図 2-11)。

ステップ 2 ナビゲーション ペインで 、[Advanced] > [SSL VPN Client] を選択します。[Optional Client Module to Download] ドロップリストをクリックし、 モジュールを選択します。

図 2-11 ダウンロードするオプションのクライアント モジュールの指定

 

ステップ 3 [OK] をクリックし、変更をグループ ポリシーに適用します。

[Start Before Logon] を選択した場合は、AnyConnect クライアント プロファイルでもこの機能をイネーブルにする必要があります。詳細については、「 VPN 機能の設定」を参照してください。


 

Windows Mobile デバイスへの AnyConnect のインストール

ASAは、モバイル デバイス上では AnyConnect の WebLaunch をサポートしていません。企業のコンピュータの場合と同じように、従業員に支給する Windows Mobile デバイスに、AnyConnect をあらかじめ導入できます。それ以外の場合は、AnyConnect for Windows Mobile をダウンロードして、インストールする必要があります。


) デフォルトでプロキシがイネーブルになっているモバイル デバイスもあります。AnyConnect がデータを SSL 接続で渡すことができるようにするため、リモート ユーザはプロキシをバイパスするようモバイル デバイスを設定しなければならない場合があります。


AnyConnect for Windows Mobile をダウンロードおよびインストールするには、次の手順に従ってください。


ステップ 1 次のいずれかのファイルを Cisco AnyConnect Download Software サイトからダウンロードして、Cisco AnyConnect Secure Mobility Client for Windows Mobile を取得します。

すべてのクライアント インストール パッケージが含まれるファイル:anyconnect-all-packages-- AnyConnectRelease_Number -k9.zip

シスコによって署名された Windows Mobile デバイス用の CAB パッケージ:anyconnect-wince-ARMv4I- AnyConnectRelease_Number -k9.cab

Windows Mobile プラットフォーム用の ActiveSync MSI パッケージ:anyconnect-wince-ARMv4I-activesync- AnyConnectRelease_Number -k9.msi

ステップ 2 anyconnect-all-packages-- AnyConnectRelease_Number -k9.zip ファイルをダウンロードした場合は、このファイルを解凍します。

ステップ 3 AnyConnect へのリンクをユーザに提供する場合は、企業のサーバにファイルを転送します。

ステップ 4 Windows Mobile デバイスが、最新の『 Cisco AnyConnect Secure Mobility Release Notes 』に記載されたシステム要件を満たしていることを確認します。

ステップ 5 推奨する方法で、イントラネット サーバまたはローカル コンピュータからモバイル デバイスに .cab ファイルまたは .msi ファイルを転送します。たとえば、次の方法があります。

無線による Microsoft ActiveSync

LAN または無線による HTTP、FTP、SSH、または共有ファイル

Bluetooth

(USB)ケーブル

メディア カードによる転送

ステップ 6 モバイル デバイスを使用して転送したファイルを開き、インストール ウィザードに従います。


 

64 ビット Linux への AnyConnect のインストール

AnyConnect を x64(64 ビット)版の Ubuntu 9 にインストールするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、32 ビット互換ライブラリをインストールします。

administrator@ubuntu-904-64:/usr/local$ sudo apt-get install ia32-libs lib32nss-mdns
 

ステップ 2 32 ビット版の FireFox を http://www.mozilla.com からダウンロードして、/usr/local/firefox にインストールします。

AnyConnect は、必要な NSS 暗号化ライブラリを先にこのディレクトリで検索します。

ステップ 3 次のコマンドを入力して、ここで示すディレクトリに Firefox インストールを展開します。

administrator@ubuntu-904-64:/usr/local$ sudo tar -C /usr/local -xvjf ~/Desktop/firefox-version.tar.bz2
 

ステップ 4 AnyConnect を使用するユーザとしてログインし、少なくとも 1 回、Firefox を実行します。

これによって、AnyConnect が Firefox 証明書ストアと対話するために必要な .mozilla/firefox プロファイルがユーザのホーム ディレクトリに作成されます。

ステップ 5 Standalone モードで AnyConnect をインストールします。


 

Mac OS で Java インストーラが失敗した場合の手動インストール オプションの使用

Mac 上で WebLaunch を使用して AnyConnect を起動し、Java インストーラが失敗した場合は、ダイアログボックスに [Manual Install] リンクが表示されます。次のように進めます。


ステップ 1 [Manual Install] をクリックします。

ダイアログボックスに、vpnsetup.sh ファイルを保存するオプションが表示されます。

ステップ 2 vpnsetup.sh ファイルを Mac 上に保存します。

ステップ 3 ターミナル ウィンドウを開き、CD コマンドを使用して、保存したファイルがあるディレクトリに移動します。

ステップ 4 次のコマンドを入力します。

sudo /bin/sh vpnsetup.sh
 

vpnsetup スクリプトによって AnyConnect インストールが開始されます。

ステップ 5 インストール後、[Applications] > [Cisco] > [Cisco AnyConnect VPN Client] を選択して、AnyConnect セッションを開始します。


 

AnyConnect Secure Mobility ソリューションの WSA をサポートするための ASA の設定

現在、ユーザとその所有デバイスは、オフィス、自宅、空港、カフェといったさまざまな場所からインターネットに接続するなど、さらにモバイル化が進んでいます。従来、ネットワーク内のユーザはセキュリティの脅威から保護されていましたが、従来のネットワーク外のユーザはアクセプタブル ユース ポリシーが適用されずにマルウェアから最小限しか保護されないため、現在よりもデータ損失のリスクが高まっています。

雇用主は、従業員やパートナーが場所やデバイスを問わずに作業できるフレキシブルな作業環境の創出を望んでいますが、同時に、企業の利益と資産をインターネット ベースの脅威から常時保護したいと考えています。

従来のネットワーク セキュリティ ソリューションやコンテンツ セキュリティ ソリューションは、ユーザと資産をネットワーク ファイアウォールで保護する点では理想的でしたが、ユーザまたはデバイスがネットワークに接続していない場合や、セキュリティ ソリューションを介してデータがルーティングされない場合には効果がありません。

シスコは AnyConnect Secure Mobility を提供してリモート エンドポイントへのネットワーク境界を拡張し、Web セキュリティ アプライアンスで提供される Web フィルタリング サービスをシームレスに統合できます。Cisco AnyConnect Secure Mobility は、コンピュータ対応プラットフォームやスマートフォン対応プラットフォーム上のモバイル ユーザを保護する革新的な新しい方法を実現し、エンド ユーザには、よりシームレスな常時保護されたエクスペリエンスが提供され、IT 管理者は包括的にポリシーを適用できるようになります。

AnyConnect Secure Mobility は、次のシスコ製品全体の機能のコレクションです。

Cisco IronPort Web セキュリティ アプライアンス(WSA)

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA)

Cisco AnyConnect クライアント

Cisco AnyConnect Secure Mobility は、次の機能を提供してモバイル ワークフォースの課題に対処します。

セキュアかつ持続的な接続 :(適応型セキュリティ アプライアンスをヘッドエンドに使用する)Cisco AnyConnect は、AnyConnect Secure Mobility のリモート アクセス接続機能部分を提供します。ネットワークへのアクセスを許可する前に、ユーザとデバイスの両方を認証して検証する必要があるため、セキュアな接続が得られます。通常、Cisco AnyConnect はネットワーク間のローミング時も常時接続に設定されるため、接続は固定されます。Cisco AnyConnect は常時接続でありながら、十分な柔軟性も備えているため、ロケーションに応じてさまざまなポリシーを適用できます。また、インターネットにアクセスする前に契約条項に同意する必要がある「キャプティブ ポータル」で、ユーザのインターネット アクセスを許可します。

持続的なセキュリティとポリシーの適用 : Web セキュリティ アプライアンスは、アクセプタブル ユース ポリシーやマルウェアからの保護などのコンテキストに対応したポリシーを、モバイル(リモート)ユーザも含めたあらゆるユーザに適用します。また Web セキュリティ アプライアンスは、AnyConnect クライアントからユーザ認証情報を受け入れ、ユーザが Web コンテンツにアクセスできるよう自動認証手順を提供します。

[Mobile User Security] ダイアログ ボックスを使用して、この機能の ASA 部分を設定します。AnyConnect Secure Mobility により Cisco IronPort S シリーズ Web セキュリティ アプライアンスは Cisco AnyConnect セキュア モビリティ クライアントをスキャンでき、クライアントを悪意あるソフトウェアや不適切なサイトから確実に保護します。クライアントは、Cisco IronPort S シリーズ Web セキュリティ アプライアンス保護がイネーブルになっているか定期的に確認します。

ASA for WSA サポートのために ASA を設定するには、[ASDM Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Mobile User Security] パネルを選択します(図 2-12 を参照)。詳細については [Help] をクリックします。

図 2-12 AnyConnect Secure Mobility ウィンドウ

 


) この機能では、Cisco AnyConnect セキュア モビリティ クライアントの AnyConnect Secure Mobility ライセンスをサポートする Cisco IronPort Web セキュリティ アプライアンスのリリースが必要です。また、AnyConnect Secure Mobility 機能をサポートする AnyConnect リリースが必要です。



ステップ 1 次のいずれかの方法を使用して、どのホストまたはネットワーク アドレスから WSA が通信し、リモート ユーザを識別できるかを指定します。

IP アドレスによる関連付け : Web セキュリティ アプライアンス管理者は、リモート デバイスに割り当てられていると見なす IP アドレスの範囲を指定します。通常、適応型セキュリティ アプライアンスは、VPN 機能を使用して接続しているデバイスに、これらの IP アドレスを割り当てます。Web セキュリティ アプライアンスは、設定されているいずれかの IP アドレスからトランザクションを受信すると、そのユーザをリモート ユーザと見なします。この設定では、Web セキュリティ アプライアンスが適応型セキュリティ アプライアンスと通信しません。

Cisco ASA との統合 : Web セキュリティ アプライアンス管理者は、1 つ以上の適応型セキュリティ アプライアンスと通信するよう Web セキュリティ アプリケーションを設定します。適応型セキュリティ アプライアンスは、IP アドレスとユーザのマッピングを保持し、その情報を Web セキュリティ アプライアンスに伝達します。Web プロキシはトランザクションを受信すると、IP アドレスを取得して IP アドレスとユーザのマッピングをチェックし、ユーザ名を特定します。適応型セキュリティ アプライアンスと統合すると、リモート ユーザのシングル サインオンを有効にできます。この設定により、Web セキュリティ アプライアンスは適応型セキュリティ アプライアンスと通信します。

[Add]:適応型セキュリティ アプライアンスが通信できる Web セキュリティ アプライアンスを 1 つ以上追加できる [Add MUS Access Control Configuration] ダイアログボックスを開きます。

[Edit]:選択された接続の [Edit MUS Access Control Configuration] ダイアログボックスを開きます。

[Delete]:選択した接続をテーブルから削除します。確認されず、やり直しもできません。

ステップ 2 モバイル ユーザ セキュリティ サービスをイネーブルにする場合、VPN を介してクライアントと接続を開始します。Web セキュリティ アプライアンスは、適応型セキュリティ アプライアンスと統合するように設定されると、初回起動時に、設定されているすべての適応型セキュリティ アプライアンスと HTTPS 接続を確立しようとします。接続が確立されると Web セキュリティ アプライアンスは、設定されている ASA アクセス パスワードを使用して適応型セキュリティ アプライアンスを認証します。認証が正常に行われると、適応型セキュリティ アプライアンスは Web セキュリティ アプライアンスに IP アドレスとユーザのマッピングを送信します。WSA が存在しない場合、ステータスは disabled になります。

ステップ 3 サービスをイネーブルにする場合、サービスのどのポート番号を使用するかを指定します。ポートの範囲は 1 ~ 65535 で、管理システムにより WSA にプロビジョニングされた対応する値と一致させる必要があります。デフォルトは 11999 です。

ステップ 4 必要な場合、WSA アクセス パスワードを変更します。適応型セキュリティ アプライアンスと Web セキュリティ アプライアンス間の認証に必要な Web セキュリティ アプライアンス アクセス パスワードを変更できます。このパスワードは、Web セキュリティ アプライアンスに設定されている当該パスワードと一致する必要があります。

ステップ 5 [WSA Access Password] フィールドで、ASA と WSA 間の認証に必要な共有秘密パスワードを指定します。

ステップ 6 指定されたパスワードを再入力します。

ステップ 7 [Show WSA Sessions] により ASA に接続された WSA のセッション情報を表示できます。接続されている(または接続された)WSA のホスト IP アドレスおよび接続時間がダイアログボックスに返されます。


 

Add or Edit MUS Access Control

[Add or Edit MUS Access Control] ダイアログボックスにより MUS アクセスを設定できます。


ステップ 1 ドロップダウン メニューを使用して、追加または編集しているインターフェイス名を選択します。

ステップ 2 IPv4 アドレスまたは IPv6 アドレスを入力します。

ステップ 3 ドロップダウン メニューを使用して、該当のマスクを選択します。