Cisco AnyConnect VPN Client アドミニストレー タ ガイド v.2.0
はじめに
はじめに
発行日;2012/01/30 | 英語版ドキュメント(2010/05/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

はじめに

AnyConnect クライアントの機能

リモート ユーザ インターフェイス

必要なファイルの取得とインストール

AnyConnect クライアントおよび Cisco Secure Desktop と CSA 相互運用性

はじめに

このマニュアルでは、中央サイトのセキュリティ アプライアンスおよびリモート ユーザの PC で Cisco AnyConnect VPN Client を起動し、実行するプロセスについて説明します。ここで PC とは、一般的に Windows、Mac、および Linux デバイスを指しますが、このマニュアルでは主に Windows PC ユーザを対象とします。

AnyConnect クライアントの機能

Cisco AnyConnect VPN Client は次世代型の VPN クライアントで、ASA バージョン 8.0 以降および ASDM 6.0 以降を実行している Cisco 5500 シリーズ適応型セキュリティ アプライアンスへのセキュアな VPN 接続をリモート ユーザに提供します。PIX デバイスや VPN 3000 シリーズ コンセントレータには接続されません。


) PIX は、クライアントレスと AnyConnect のどちらでも SSL VPN 接続をサポートしません。


AnyConnect クライアントは、Windows Vista、Windows XP、Windows 2000、Intel または PowerPC 上の Mac OS X(バージョン 10.4 以降)、および Red Hat Linux(バージョン 9 以降)をサポートします。プラットフォームの要件およびサポート対象バージョンの完全なセットについては、リリース ノートを参照してください。

ネットワーク管理者が、セキュリティ アプライアンス上で AnyConnect のクライアント機能を設定します。次に、セキュリティ アプライアンスにクライアントをロードし、リモート ユーザがログインしたときに自動的にダウンロードされるようにするか、手動でアプリケーションとして PC にインストールします。クライアントで、ユーザ インターフェイスに表示されるユーザ プロファイルを設定したり、ホスト コンピュータの名前とアドレスを定義したりできます。

ネットワーク管理者は、特定の機能を個別のユーザまたはグループに割り当てることができます。AnyConnect クライアントには、次の機能があります。

SSL 接続による DTLS(Datagram Transport Layer Security):SSL のみの接続で発生する遅延および帯域幅の問題を防ぎ、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスを向上します。DTLS は、UDP を使用して遅延の少ないデータ パスを提供する標準ベースの SSL プロトコルです。DTLS の詳細については、RFC 4347(http://www.ietf.org/rfc/rfc4347.txt)を参照してください。

スタンドアロン モード:Cisco AnyConnect VPN Client は、接続を確立するための Web ブラウザを必要とせずに、PC アプリケーションとして確立できます。

コマンドライン インターフェイス(CLI):コマンド プロンプトで、クライアント コマンドに直接アクセスできます。

Microsoft Installer(MSI):Windows システム上で AnyConnect クライアント ソフトウェアをインストール、メンテナンス、および削除できるプレインストール パッケージ オプションを Windows ユーザに提供します。

IPv6 VPN アクセス:公衆 IPv4 接続から IPv6 リソースにアクセスできます(Windows XP SP2、Windows Vista、Mac OSX、および Linux のみ)。

Start Before Login(SBL):Windows のログイン スクリプト、パスワード キャッシング、ドライブ マッピングなどを使用できます。

証明書のみの認証:ユーザは、ユーザ ID とパスワードを入力せずに、デジタル証明書だけで接続できます。

AnyConnect クライアントとクライアントレス ブラウザベース接続の同時使用:ユーザは、同じ IP アドレスに対して AnyConnect(スタンドアロン)接続とクライアントレス SSL VPN 接続(ブラウザ経由)の両方を同時に使用できます。各接続に独自のトンネルが作成されます。

圧縮:転送されるパケットのサイズを削減して、セキュリティ アプライアンスとクライアントとの間の通信パフォーマンスを向上します。圧縮は TLS でのみ機能します。

DTLS から TLS へのフォールバック:DTLS が機能しなくなった場合に、DTLS から TLS にフォールバックする手段を提供します。

言語変換(ローカリゼーション):クライアントのユーザ インターフェイスに表示されるユーザ メッセージの変換を実装する手段を提供します。

セキュリティ アプライアンスのダイナミック アクセス ポリシー機能:複数のグループ メンバーシップおよび VPN 接続のエンドポイント セキュリティの変数を処理する認証を設定できます。

Cisco Secure Desktop のサポート:SSL VPN へのアクセスを要求しているクライアント コンピュータのセキュリティを確認し、接続中もセキュアな状態が維持されることを確認し、クライアント コンピュータの接続が解除された後でセッションのトレースを削除します。Cisco AnyConnect VPN Client では、Windows 2000 および Windows XP 用の Cisco Secure Desktop の Secure Desktop 機能がサポートされます。

キーの再生成:キーの再生成時に、SSL 再ネゴシエーションを実行するように指定します。


) Cisco AnyConnect VPN Client は、IPSec Cisco VPN Client と共存できますが、同時に使うことはできません。


リモート ユーザ インターフェイス

リモート ユーザには、Cisco AnyConnect VPN Client のユーザ インターフェイスが表示されます(図 1-1)。Connection タブのドロップダウン リストに、リモート システムに接続するためのプロファイルが表示されます。オプションで、表示するバナー メッセージを [Connection] タブで設定できます。インターフェイスの下部の状況表示行に、接続のステータスが表示されます。

図 1-1 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Connection] タブ

 

証明書を設定していない場合は、図 1-2 のようなダイアログボックスが表示されます。このダイアログボックスが表示された場合は、[Yes] をクリックして接続します。

図 1-2 [Security Alert] ダイアログボックス

 


) ほとんどのユーザ(正しい証明書が展開されているユーザ)には、このダイアログボックスは表示されません。


表 1-1 に、[Security Alert] ダイアログボックスが表示される条件と結果を示します。

 

表 1-1 証明書、セキュリティの警告、および接続のステータス

証明書のステータス
セキュリティの警告が表示されるか
クライアント接続のステータス

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能で、 かつ 証明書に重大なエラーがない。

いいえ

Success

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能で なく かつ 証明書に重大なエラーがある。

いいえ

Failure

セキュリティ アプライアンスからクライアントに送信されたサーバ証明書が、独立して検証可能で なく かつ 証明書に重大なエラーが ない

はい

クライアントで証明書を確認できないため、セキュリティに問題があると考えられます。クライアントは、接続試行を続けるかどうか、ユーザに確認します。

[Security Alert] ダイアログボックスは、指定されたセキュリティ アプライアンスへの最初の接続試行でのみ表示されます。接続の確立に成功すると、サーバ証明書の「サムプリント」がプリファレンス ファイルに保存されるため、同じセキュリティ アプライアンスへの後続の接続では、ユーザに対するプロンプトは表示されません。

ユーザが、別のセキュリティ アプライアンスに接続してから戻ると、再び [Security Alert] ダイアログボックスが表示されます。

リモート ユーザに対して [Security Alert] ダイアログボックスが表示されるかどうかに関する詳細、および事例については、「ブラウザのセキュリティ警告ウィンドウに対応するセキュリティ証明書の追加」を参照してください。

図 1-3 に、現在の接続情報が表示されている [Statistics] タブを示します。

図 1-3 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Statistics] タブ

 

[Details] タブをクリックすると、[Statistics Details] ウィンドウが表示されます(図 1-4)。[Statistics Details] ウィンドウの [Statistics] タブには、トンネルの状態とモード、接続時間、送受信したバイト数とフレーム数、アドレス情報、転送情報、および Cisco Secure Desktop ポスチャ アセスメント ステータスなど、詳細な接続統計情報が表示されます。このタブの [Reset] ボタンを使用すると、転送統計情報がリセットされます。[Export] ボタンを使用すると、現在の統計情報、インターフェイス、およびルーティング テーブルをテキスト ファイルにエクスポートできます。AnyConnect クライアントは、テキスト ファイルの名前と場所を入力するように要求するプロンプトを表示します。デフォルトの名前は AnyConnect-ExportedStats.txt で、デフォルトの場所はデスクトップです。

図 1-4 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Statistics Details] タブ

 

[Route Details] タブ(図 1-5)をクリックすると、この接続のセキュアなルートとセキュアでないルートが表示されます。

図 1-5 Cisco AnyConnect VPN Client のユーザ インターフェイス、[Route Details] タブ

 


) 宛先が 0.0.0.0 でサブネット マスクが 0.0.0.0 の Secured Routes エントリは、すべてのトラフィックがトンネルで処理されることを意味します。


[About] タブ(図 1-6)には、Cisco AnyConnect クライアントのバージョン情報、著作権情報、および文書情報が表示されます。

図 1-6 Cisco AnyConnect VPN Client のユーザ インターフェイス、[About] タブ

 

必要なファイルの取得とインストール

最新のリリース ノート文書には、必要なファイルを入手してインストールするためのシステム要件と詳細な手順が書かれています。Cisco Secure Desktop と AnyConnect クライアントとの相互運用性は、Windows 2000 および Windows XP オペレーティング システムでのみサポートされています。


) AnyConnect の Windows Vista バージョン(32 ビットおよび 64 ビット)は、Windows 2000 および Windows XP バージョンがサポートするすべての機能をサポートしますが、Start Before Logon はサポートしません。AnyConnect とは別の製品である Cisco Secure Desktop は、32 ビット Vista で、ポスチャ アセスメントとキャッシュ クリーナ コンポーネントをサポートします。Cisco Secure Desktop は、現時点では Vista で Secure Desktop をサポートしません。


クライアントは、セキュリティ アプライアンスにロードして、リモート ユーザがセキュリティ アプライアンスにログインしたときに自動的に展開することも、PC 上のアプリケーションとして、ネットワーク管理者が標準のソフトウェア展開メカニズムを使用してインストールすることもできます。ユーザ プロファイルは、テキスト エディタを使用して XML ファイルとして作成できます。このプロファイルによって、ユーザ インターフェイスの表示が決まり、ホスト コンピュータの名前とアドレスが定義されます。

AnyConnect クライアントおよび Cisco Secure Desktop と CSA 相互運用性

リモート ユーザに Cisco Security Agent(CSA)がインストールされている場合は、AnyConnect VPN Client および Cisco Secure Desktop をセキュリティ アプライアンスと相互運用できるように、新しい CSA ポリシーをリモート ユーザにインポートする必要があります。

そのためには、次の手順を実行します。


ステップ 1 AnyConnect クライアントおよび Cisco Secure Desktop の CSA ポリシーを取得します。次の場所からファイルを取得できます。

セキュリティ アプライアンスに同梱の CD

ASA 5500 シリーズ適応型セキュリティ アプライアンスのソフトウェア ダウンロード ページ(http://www.cisco.com/cgi-bin/tablebuild.pl/asa)

ファイル名は、AnyConnect-CSA.zip および CSD-for-CSA-updates.zip です。

ステップ 2 .zip パッケージ ファイルから、.export ファイルを展開します。

ステップ 3 インポートする正しいバージョンの .export ファイルを選択します。CSA バージョン 5.2 以降の場合は、バージョン 5.2 のエクスポート ファイルです。CSA バージョン 5.0 および 5.1 の場合は、5.x のエクスポート ファイルです。

ステップ 4 CSA Management Center の [Maintenance] > [Export/Import] タブを使用して、ファイルをインポートします。

ステップ 5 VPN ポリシーに新しいルール モジュールを追加して、ルールを生成します。

詳細については、CSA のマニュアル『 Using Management Center for Cisco Security Agents 5.2 』を参照してください。ポリシーのエクスポートに関する情報は、「 Exporting and Importing Configurations 」の項にあります。