VPN Client アドミニストレータ ガイド Release 4.0
ネットワーク管理者用の設定情報
ネットワーク管理者用の設定情報
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ネットワーク管理者用の設定情報

VPN 3000 シリーズ コンセントレータ設定情報

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

クイック コンフィギュレーションの実行

IPSec グループの作成

VPN Client ユーザ プロファイルの作成

デジタル証明書を使用した認証用の VPN Client ユーザの設定

VPN Client のファイアウォール ポリシーの設定:Windows の場合

概要

ファイアウォール設定のシナリオ

CPP 用のファイアウォールで使用するフィルタとルールの指定

VPN Client 上でファイアウォールを使用させる VPN 3000 Concentrator の設定

CPP 用 Cisco Integrated Client Firewall(CIC)の設定

カスタム ベンダー コード

ファイアウォールのトラブルシューティング情報の入手

リモート ユーザへの Client アップデートの通知

VPN Client 用のローカル LAN アクセスの設定

Client Backup Server 用の VPN Concentrator の設定

VPN Client 用の NAT Traversal の設定

グローバル設定

VPN Client 用の Entrust Entelligence の設定:Windows の場合

スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

ネットワーク管理者用の設定情報

この章では、ネットワーク管理者を対象に、 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』、および『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』を補完する情報を提供します。

この章の主な内容は、次のとおりです。

VPN 3000 シリーズ コンセントレータ設定情報

VPN Client 用の Entrust Entelligence の設定:Windows の場合

スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

VPN 3000 シリーズ コンセントレータ設定情報

ネットワーク管理者は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」の章を熟読されることをお勧めします 「User Management」の章では、IPSec トンネルを介して接続するリモート ユーザを設定する方法を詳しく説明しています。また、Client のバナーの設定、ファイアウォール、スプリット トンネリング等の機能の使用方法も説明しています。

この項では、次の内容について説明します。

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

VPN Client のファイアウォール ポリシーの設定:Windows の場合

リモート ユーザへの Client アップデートの通知

VPN Client 用のローカル LAN アクセスの設定

Client Backup Server 用の VPN Concentrator の設定

VPN Client 用の NAT Traversal の設定

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

VPN Client ユーザが VPN 3000 Concentrator を介してリモート ネットワークにアクセスできるようにするには、ネットワーク管理者は、事前に VPN 3000 Concentrator 上で次の作業を完了しておく必要があります。

少なくとも、クイック コンフィギュレーションのすべてのステップを実行する。

IPSec グループに対して属性を作成し、割り当てる。

VPN Client ユーザに対して、IPSec グループのメンバーとして属性を作成し、割り当てる。

認証に事前共有キーではなくデジタル証明書を使用する VPN Client ユーザを設定する。

クイック コンフィギュレーションの実行

クイック コンフィギュレーションを実行する手順については、『VPN 3000 シリーズ コンセントレータ スタートアップ ガイド』、またはクイック コンフィギュレーションのオンライン ヘルプを参照してください。

次の作業を確実に実行してください。

イーサネット インターフェイス 1 と 2(Private と Public)の両方に適切な IP アドレスとフィルタを設定し、これらのインターフェイスを使用可能にする。

DNS サーバとデフォルト ゲートウェイを設定する。

IPSec をトンネリング プロトコルの 1 つとして使用可能にする(デフォルト)。

IPSec グループのグループ名とパスワードを入力する。

ユーザ IP アドレスの割り当て方式を 1 つ以上設定する。

グループ認証とユーザ認証用の認証サーバを設定する。後述の説明では、両方の認証に内部サーバを使用することを前提としていますが、代わりに外部サーバを設定することもできます。

設定を保存する。

IPSec グループの作成

クイック コンフィギュレーション時に、IPSec グループを自動的に作成できます。IPSec グループを追加または変更する場合は、このセクションの手順を実行してください。

設定グループの詳細については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」、またはオンライン ヘルプを参照してください。

IPSec グループを作成する前に、基本グループの属性を設定できます。その場合は、Configuration | User Management | Base Group 画面を参照してください。この画面の General Parameters および IPSec Parameters を慎重に確認するようにお勧めします。外部ユーザ認証を使用する場合は、基本グループ属性が特に重要になります。その理由は、外部サーバから提供されない属性は、この基本グループの属性で決定されるからです。

VPN Client では、セキュアなトンネルの作成と使用に IPSec プロトコルが使用されます。IPSec の認証は、2 段階で行われます。第 1 の段階はグループ認証であり、第 2 の段階はユーザ認証です。次の説明では、グループ認証とユーザ認証の両方に、VPN 3000 Concentrator の内部認証サーバを使用することを前提としています。

Configuration | User Management | Groups | Add 画面を使用して、IPSec グループを作成する手順は、次のとおりです。


ステップ 1 Identity タブで、Group Name および Password を入力します。VPN Client のユーザは、接続エントリを設定し、VPN Client 経由で接続するために、このグループ名とパスワードが必要です。 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 2 章「必要な情報の収集」を参照してください。

ステップ 2 次に認証の方法を選択します。Type パラメータは、グループ認証の方法を、内部または外部のいずれかに決定します。内部グループは、VPN Concentrator 上で設定します。External を選択する場合は、適切なグループ属性が認証された後で提供されるように、外部 RADIUS サーバを設定する必要があります。

ステップ 3 General Parameters タブ | Tunneling Protocols で、IPSec にチェックマークが付いていることを確認します。

ステップ 4 IPSec Parameters タブ | IPSec SA で、Triple-DES 認証を使用する ESP-3DES-MD5 を選択します。または、最低限の安全を保証する DES 認証を使用する ESP-DES-MD5 を選択することもできます。あるいは AES を使用するときは、AES プロトコルの 1 つ、たとえば ESP-AES128-SHA を選択します。AES は、最もセキュアです。


) SA(セキュリティ結合)を作成またはカスタマイズする場合は、Configuration | Policy Management | Traffic Management | Security Associations 画面を参照してください。


ステップ 5 IPSec > Authentication で、グループ メンバーに対して使用する認証方法、たとえば Internal、または RADIUS を選択します。None または Internal 以外の認証方法を選択した場合は、外部認証サーバを適切に設定し、VPN Client をインストールするための適切な情報をユーザに提供する必要があります。

ステップ 6 ユーザがログインするたびにユーザにパスワードの入力を求めるには、Client Config タブの Allow Password Storage on Client にチェックマークを 付けない ようにお勧めします。このパラメータにチェックマークを付けないことにより、セキュリティが向上します。

ステップ 7 グループを追加するには、 Add をクリックし、設定を保存します。


 

VPN Client ユーザ プロファイルの作成

グループ内の VPN Client ユーザの設定についての詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」を参照してください。

Configuration | User Management | Users | Add または Modify 画面を使用して、VPN Client ユーザを設定する手順は、次のとおりです。


ステップ 1 User Name、Password、および Verify Password に入力します。VPN Client ユーザは、VPN Concentrator への接続時に認証用のユーザ名およびパスワードを入力する必要があります。 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 2 章「必要な情報の収集」を参照してください。

ステップ 2 Group で、「IPSec グループの作成」のセクションで設定したグループ名を選択します。

ステップ 3 General と IPSec で、他の属性を慎重に確認および設定します。ユーザを追加する場合、Inherit? チェック ボックスは基本グループ属性に対応します。ユーザを変更する場合、これらのチェック ボックスは、ユーザに割り当てられたグループの属性に対応します。

ステップ 4 Add または Apply をクリックし、設定を保存します。


 

デジタル証明書を使用した認証用の VPN Client ユーザの設定

デジタル証明書を使用した IPSec クライアント接続用に VPN 3000 Concentrator を設定するには、次の手順を実行してください。

IKE RSA をアクティブにします。

VPN 3000 Concentrator の ID 証明書を使用するためのセキュリティ結合(SA)を設定します。

証明書を使用して接続する Client 用の新しいグループを作成します。

VPN Client ユーザを新しいグループに追加します。

詳細については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の次の章を参照してください。

IKE プロポーザルの設定については、「Tunneling Protocols」を参照。

SA の設定については、「Policy Management」を参照。

グループとユーザの設定については、「User Management」を参照。

デジタル証明書を使用した認証用の VPN Client ユーザの設定手順は、次のとおりです。


ステップ 1 Configuration | System | Tunneling Protocols | IPSec | IKE Proposals 画面を使用して、証明書用の IKE プロポーザルをアクティブにします。

a. IKE プローポーザルの 1 つ、たとえば CiscoVPNClient-3DES-MD5-RSA-DH5、
CiscoVPNClient-3DES-SHA-DSA-DH5、または CiscoVPNClient-AES128-SHA をアクティブにします。


) AES を使用するには、AES プロポーザルをリストの最上部に移動させます。また、AES を使用するには、VPN Client のリリース 3.6 以降を実行している必要があります。


b. 標準プロポーザルを変更しない場合は、アクティブ プロポーザルをコピーし、新しい名前を付けます。たとえば、CiscoVPNClient-3DES-MD5-RSA-DH5 をコピーし、「IKE-Proposal for digital certificate use」のような名前を付けます。

c. Security Associations をクリックします。これにより次のステップに進みます。

ステップ 2 Configuration | Policy Management | Traffic Management | Security Associations 画面を使用して、新しい SA を作成します。IKE Proposals 画面の Security Associations リンクを使用できます。

a. 新しい SA を追加します。たとえば、その SA に「Security association for digital certificate use」という名前を付けます。

b. Digital Certificates パラメータを変更して、VPN 3000 Concentrator のデジタル証明書を指定します。変更が必要なのは、このフィールドだけです。

ステップ 3 Configuration | User Management | Groups | Add または Modify 画面を使用して、デジタル証明書を使用するためのグループを設定します。

a. Identity タブでグループの設定に Organizational Unit を使用する場合は、このグループの証明書の OU フィールドと同じグループ名を入力します。たとえば、VPN Client の証明書の OU が Finance である場合は、グループ名として Finance と入力します。OU は、ASN.1 Distinguished Name(DN)のフィールドです。パスワードを入力して確認します。
または、
証明書のグループ マッチングにポリシーを設定できます。 この方法を使用するときは、Configuration | Policy Management | Certificate Group Matching | Policy の順に選択します。ルールの作成手順については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』を参照するか、オンライン ヘルプを参照してください。

b. IPSec タブ > IPSec SA で、ステップ 2 で作成した IPSec SA を選択します。たとえば、「Security association for digital certificate use」を選択します。

c. IPSec タブ > Authentication で、ユーザ認証に使用する方式を選択します。たとえば、Internal を選択します。外部認証方法、たとえば RADIUS を選択する場合は、外部認証サーバを適切に設定し、使用しているプラットフォーム用の『VPN Client ユーザ ガイド』の第 2 章「必要な情報の収集」のセクションで求められている適切なエントリをユーザに提供する必要があります。

d. Add または Apply をクリックして、設定を保存します。

ステップ 4 Configuration | User Management | Users | Add または Modify | Identity 画面を使用して、デジタル証明書に必要な VPN Client ユーザを設定します。

a. ステップ 3 で Group パラメータを使用して設定したグループをグループ名として入力します。たとえば、 Finance と入力します。

b. Add または Apply をクリックし、設定を保存します。


 

VPN Client のファイアウォール ポリシーの設定:Windows の場合

VPN Client では、セキュリティのレベルを高めるために、インターネット上のトラフィックに対して、VPN がサポートしているファイアウォールの動作を堅固にするか、プッシュされたステートフル ファイアウォール ポリシーを受け取るかのいずれかが可能です。ここでは、次の内容について説明します。

VPN Client とファイアウォールの連携動作

インターネット トラフィックに対して VPN Client が実行できるパーソナル ファイアウォール製品のリスト

VPN Concentrator 上での、VPN Client が実行するステートフルなファイアウォール ポリシーの設定方法

概要

ここでは、ネットワーク管理者が、Windows プラットフォーム上で実行されている VPN Client にポリシー情報を知らせるセキュア ゲートウェイとして動作する VPN 3000 Concentrator からパーソナル ファイアウォール機能を制御する方法を簡単に説明します。

オプション設定と必須設定

VPN Concentrator では、指定のファイアウォール設定が VPN Client で使用されるよう、あるいはファイアウォール設定がオプションで使用されるように要求できます。指定のファイアウォール設定がオプションで使用されるようにすると、VPN Client のユーザが、希望するファイアウォールをクライアント PC 上にインストールすることが可能になります。VPN Client は、接続を試みるとき、クライアント PC 上にどのようなファイアウォールがインストールされているかを VPN Concentrator に通知します。すると、VPN Concentrator は、VPN Client がどのファイアウォールを使用しなければならないかという情報を送り返します。ファイアウォール設定がオプションであれば、VPN Concentrator は、ファイアウォール設定は不一致ではあっても VPN Client がトンネルを確立できることを VPN Client に通知します。こうしたオプション機能により、VPN Client のネットワーク管理者は、必要なファイアウォールを入手してインストールできて、トンネル接続も維持されます。

Stateful Firewall(Always On)

VPN Client の設定オプションである Stateful Firewall(Always On)は、VPN Client 上で有効にされます。この設定オプションは、ネゴシエーションされません。VPN Concentrator からのポリシー制御も行われません。VPN Client のユーザは、VPN Client の[オプション]メニューでこのオプションを選択するか、VPN Client がアクティブな間に VPN Client アイコンを右クリックし、このオプションを選択して有効にできます。

この機能が有効になっていると、VPN 接続が有効かどうかにかかわらず、すべてのネットワークからの受信セッションが阻止されます。また、トンネル化されたトラフィックとトンネル化されていないトラフィックの両方に対して、ファイアウォールがアクティブになります。この機能を有効にしているユーザは、PC 上でサーバを動作させることはできません。また、そうしたユーザが使用しているシステムは、PING 要求に対して応答できません。受信トラフィックが阻止される場合の例外が 2 つあります。1 つは、DHCP に対してで、あるポートから DHCP サーバに要求を送信し、違うポートを経由して DHCP サーバからの応答を受信する場合です。DHCP に対しては、ステートフル ファイアウォールは受信トラフィックを許しているからです。もう 1 つは、ESP(VPN データ)に対してです。ステートフル ファイアウォールでは、セキュア ゲートウェイからの ESP トラフィックを許しています。ESP でのルールは、パケット フィルタであり、セッションベースのフィルタではないからです。

Stateful Firewall(Always On)は、VPN Client での最も基本的なファイアウォールであり、最高レベルのセキュリティを提供します。ただし、ほとんどすべての受信トラフィックは阻止されますが、送信トラフィックは制限されないので、柔軟性は低くなります。


) Always On パーソナル ファイアウォールは、内部(トンネル化された)ネットワークからの受信アクセスを許し、内部のアプリケーションが適切に動作することを保証しながら、トンネル化されていないトラフィックも保護します。


Cisco Integrated Client

Windows プラットフォーム上の VPN Client には、Zone Labs 技術を使用したステートフル ファイアウォールが含まれています。このファイアウォールは、Stateful Firewall(Always On)機能と
Centralized Protection Policy(次の「Centralized Protection Policy(CPP)」を参照)の両方に使用されます。また、このファイアウォールは VPN Client ユーザには透過的であり、「Cisco Integrated Client ファイアウォール」または CIC と呼ばれています。「Always On」オプションでは、VPN Client ユーザが、ファイアウォールによる基本的な保護機能を常に有効にしておくことができます。CPP では、ネットワーク管理者が、スプリット トンネリング機能を使用したインターネット トラフィックの送受信に対して実行するルールを指定できます。Tunnel Everything では、すべてのトラフィックが必ずトンネルを介して戻されるので、Tunnel Everything に対して CPP は使用されません。

Centralized Protection Policy(CPP)

Centralized Protection Policy(CPP)は、ファイアウォール プッシュ ポリシー としても知られています。CPP は、VPN Client が VPN Concentrator とトンネル通信するときに、ネットワーク管理者が、インターネット トラフィックを通過させたり、阻止したりするための一連のルールを指定できるようにします。ネットワーク管理者が VPN Concentrator 上でこのポリシーを指定すると、接続ネゴシエーション中にこのポリシーが VPN Client に送信されます。VPN Client はこのポリシーを Cisco Integrated Client に渡し、そのポリシーはそこで実行されます。Client ユーザがすでに「Always On」オプションを選択している場合、トンネルが確立されている間は、インターネット トラフィックを規制するすべての追加ルールも実行されます。CIC では、ステートフル ファイアウォールのモジュールが含まれているので、ほとんどの設定で全受信トラフィックが阻止され、全送信トラフィック、または特定の TCP ポートと UDP ポートからの送信トラフィックのどちらかが許されます。Cisco Integrated Client、Zone Alarm、および Zone Alarm Pro のファイアウォールでは、ファイアウォール ルールを割り当てることができます。CPP ルールは、スプリット トンネリング接続で有効になります。また、CPP ルールでは、送信接続に関連付けられていなければ、サーバの動作を停止し、すべての受信接続を阻止することで、VPN Client PC をインターネット攻撃から保護できます。

CPP は、許可するポートおよびプロトコルを詳細に設定できるので、Stateful Firewall(Always On)機能よりも柔軟性が優れています。

リモート PC 上で設定されたポリシー:Personal Firewall Enforcement

CPP の代替として、ネットワーク管理者は、VPN Client がインストールされている PC と同じ PC にインストールされているパーソナル ファイアウォールに対してポリシーを指定できます。この方法は、PC 上にファイアウォールが設定されていて、そのファイアウォールが使用されている場合に適しています。VPN Client は、動作状況を確認するため 30 秒ごとにパーソナル ファイアウォールをポーリングします。もしファイアウォールが動作していなければ、VPN Concentrator へのセキュア接続を終了します。このような場合、VPN Concentrator ではファイアウォール ポリシーが指定されません。VPN Client からファイアウォールへの唯一の通信手段は、動作しているかどうかを確認するためにポーリングをすることです。この機能は、AYT(Are You There)と呼ばれています。

現在、VPN Client は、次のようなパーソナル ファイアウォールをサポートしています。

BlackIce Defender

Cisco Intrusion Prevention Security Agent

Sygate Personal Firewall

Sygate Personal Firewall Pro

Sygate Security Agent

ZoneAlarm

ZoneAlarmPro

Zone Labs の Integrity Agent および Integrity Server(IA/IS)

Zone Labs の Integrity ソリューションは、Windows プラットフォーム上のリモート PC の安全を確保します。この機能は、次の 4 つのコンポーネントから構成される クライアント/サーバ ソリューションです。

Integrity Server(IS):企業の中枢ネットワーク上に置かれます。IS は、リモートの VPN Client PC 上のファイアウォールに対するポリシーを保持します。ネットワーク管理者は IS 上でポリシーを定義し、IS は、VPN Concentrator により確立されたアクティブなセキュア トンネル経由で、そのポリシーをリモート PC 上の Integrity Agent(IA)にダウンロードします。IS は、確実にポリシーを実行するために PC をモニタします。また IS は、VPN Concentrator と通信して、接続の確立または終了、セッションとユーザ情報の交換、およびステータス情報の報告を行います。

Integrity Agent(IA):リモート PC の IA は、IS から受け取った保護ポリシーを実行し、IS と通信してポリシーとステータス情報を交換します。また IA は、リモート PC 上の VPN Client と通信してサーバ アドレスを取得し、VPN Concentrator とステータス情報を交換します。

VPN Concentrator:ファイアウォール機能をグループ単位で設定する方法を提供します。VPN Concentrator は、IS の IP アドレス、および他の VPN セッション関連の情報を VPN Client に報告します。VPN Client は、それを IA に渡します。また、VPN Concentrator は IS と通信して、セッションの開始と終了、セッションとユーザ情報の交換、および認証ステータスの要求と取得を行います。

VPN Client:リモート PC の VPN Client は、VPN Concentrator から IS のアドレスと情報を取得し、それを IA に渡します。また VPN Client は、IA のステータス情報を取得および報告し、セッションを終了します。

接続が開始されると、ファイアウォール ポリシーが IS から IA に送信され、その後 IS と IA はハートビート機構により接続を維持します。

 

表 1-1 ファイアウォール設定の要約と比較

製品/ポリシー
指定場所
安全性/柔軟性
使用目的

Stateful Firewall(Always On)

VPN Client オプション

すべての許可されてない受信トラフィックを阻止し、柔軟性が最も低い(アプリケーションには無関係)。

いくつかの例外を除き、全受信トラフィックと全ネットワークを阻止

Centralized Protection Policy(CPP)と Cisco Integrated Client
(CIC)

プッシュ型ポリシー、中央制御

中央で制御。VPN
Concentrator 上で指定されるトラフィック フィルタとルールにより決定。

インターネットからの受信トラフィックから VPN Client PC およびプライベート ネットワークを保護するスプリット トンネリングで使用(Tunnel Everything オプションは、すでにすべてのトンネル化されていないトラフィックを阻止)

ZoneAlarm および ZoneAlarm Pro と CPP

プッシュ型ポリシー、中央制御

中央で制御。VPN
Concentrator 上で指定されるトラフィック フィルタとルールにより決定。

トンネルがアクティブのときに、インターネットからの許可されてない受信トラフィック、またはインターネットへの許可されてない送信トラフィックから VPN Client PC、およびプライベート ネットワークを保護するスプリット トンネリングで使用

ZoneAlarm Zone
Alarm ProBlackIce
Agent /Defender
Sygate Personal
Sygate ProSygate
Security Agent
Cisco Intrusion
Prevention Security
Agent

VPN Client PC 上で指定されるポリシー(AYT)

VPN Client PC 上で指定されるトラフィック フィルタとルールにより決定

VPN Client 上にパーソナル ファイアウォールがインストールされて、ポリシーがプッシュされないときに使用。特定のポリシーが実行されるわけではありません。

Client/Server Firewall─Zone Labs Integrity

Integrity Server(IS)からプッシュされるポリシー

安全性と柔軟性が最も高い中央制御の
ファイアウォール ポリシー

VPN Client PC 上で中央集中型の企業ロール ベースのポリシーを実行。これにより、ネットワーク管理者は、アプリケーション制御をモニタおよび実行し、許可されない受信トラフィックまたは送信トラフィックを阻止できます。

ファイアウォール設定のシナリオ

ここでは、ファイアウォール設定の事例を 3 つ紹介します。各図は、VPN Client 上で使用可能なファイアウォール製品とポリシーに加えて、VPN Concentrator 上で使用可能なパラメータ設定についても示しています。

Cisco Integrated Client

図 1-1 は、VPN Client に対して CPP ポリシーをプッシュする Cisco Integrated Client の代表的な設定を示しています。このポリシーは、スプリット トンネリングが使用されている間、インターネットからの受信トラフィックを阻止します。しかし、プライベート ネットワークからのトラフィックは阻止しません。

図 1-1 Cisco Integrated Client

 

リモート ファイアウォール

図 1-2 は、PC 上のパーソナル ファイアウォールにポリシーが設定された例を示しています。このケースでは、Are You There(AYT)がそのポリシーです。VPN Client は、ファイアウォールが動作し続けているかどうかを確認するため、30 秒ごとにファイアウォールをポーリングし、動作していなければ、そのセッションを停止します。

図 1-2 リモート ファイアウォールがポリシーを決定

 

クライアント/サーバ アプローチ

図 1-3 は、Zone Labs Integrity 設定のサンプルを示しています。

図 1-3 クライアント/サーバ:Zone Labs Integrity Server との統合

 

CPP 用のファイアウォールで使用するフィルタとルールの指定

ネットワーク管理者は、VPN Concentrator から VPN Client へファイアウォール ポリシーをプッシュさせるときは、最初に VPN Concentrator 上でそのポリシーを指定する必要があります。この場合、フィルタを作成し、パブリック ネットワーク上のフィルタにルールを追加します。VPN 3000 Concentrator は、メニューから選択して CPP 用に使用できるデフォルト フィルタを提供しています。このフィルタは、「Firewall Filter for VPN Client(Default)」という名前で、全送信トラフィックを許可し、全受信トラフィックを阻止します。

ファイアウォール フィルタは、パケット フィルタではなくセッション フィルタです。これは「allow all outbound/drop all inbound」ルールに対し、CPP ポリシーが、TCP、UDP、および ICMP の 3 つの IP プロトコルからの送信セッションの受信応答 だけを 許可することを意味します。これらのプロトコルだけが、「ステートフル」なプロトコルです。ほとんどのネットワーク管理者は、全受信トラフィックを阻止し、全送信トラフィックを許可するか、特定の TCP ポートと UDP ポートに対してだけ送信トラフィックを制限するルールを使用するでしょう。一般的なフィルタの作成とルールの追加についての詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Configuration | Policy Management | Traffic Management」を参照してください。

例1-1 VPN Client を Web サーバとして動作させるファイアウォール ポリシー用のフィルタの作成

この例では、すべてのプロトコルへの送信トラフィックを許可し、受信トラフィックは HTTP プロトコルからのものだけを許可するフィルタの追加方法をステップごとに説明します。この方法によって、VPN Client を Web サーバにできます。


ステップ 1 最初に、HTTP だけからの受信トラフィックを許可するルールを作成します。そのためには、Configuration | Policy Management | Traffic Management | Rules の順に選択します。

ステップ 2 Add をクリックします。

a. Rule Name には、 FW-Allow incoming HTTP のように分りやすい名前を入力します。

b. Action は、 Forward を選択します。

c. Protocol は、 TCP を選択します。

d. TCP/UDP Destination Port は、 HTTP(80) を選択します。

e. Add をクリックします。

ステップ 3 次に、HTTP からのトラフィックを除く全受信トラフィックを阻止しても、トンネル経由で接続されている間のすべての送信トラフィックを転送するフィルタを追加します。そのためには、Traffic Management で Filters をクリックします。

a. Add Filter ボックスをクリックします。

b. FW-Allow Incoming HTTP のように分りやすいフィルタ名を入力し、残りのパラメータはデフォルトを選択します。

c. Add をクリックし、Actions 画面を表示します。

d. この画面では、ルールを Filter 列の Current Rules へ移動させるため、ステップ 2 で作成したルールを強調表示し Add をクリックします。Any Out(forward/out)ルールに対して、同様の操作を実行します。

e. Done をクリックします。

ステップ 4 設定を保存します。

このフィルタは、Base Group および CPP ポリシーの選択をするグループで使用可能になりました。


 

VPN Client 上でファイアウォールを使用させる VPN 3000 Concentrator の設定

こでは、VPN Client PC 上で VPN Client にパーソナル ファイアウォールを使用させるように、VPN Concentrator を設定する方法を説明します。VPN Client 側でパーソナル ファイアウォール ポリシーを実行するために、VPN 3000 Concentrator 側で、Base Group または特定のユーザ グループを設定します。設定の手順は、次のとおりです。


ステップ 1 Base Group 用のファイアウォールを設定するには、 Configuration | User Management | Base Group を選択します。
または、特定のグループのファイアウォールを設定するには、 Configuration | User Management | Groups を選択します。

ステップ 2 ファイアウォールを追加するために、次のいずれか 1 つを実行します。

Base Group に対しては、 Client FW タブを選択します。

ファイアウォールを設定するために新規グループを作成するには、 Add Group をクリックし、次に Client FW タブをクリックします。

既存のグループにファイアウォールを追加するには、グループ名を強調表示して Modify Group をクリックし、 Client FW タブをクリックします。

ステップ 3 ファイアウォールの使用を要求するには、Firewall Setting 属性で Firewall Required を選択します。

ステップ 4 Firewall 属性で、Firewall プルダウン メニューからファイアウォールを選択します。使用しているファイアウォールがリストにない場合は、 Custom を使用する必要があります。

ステップ 5 Firewall Policy を選択します:リモート ファイアウォール(AYT)によって指定されるポリシー、またはプッシュされるポリシー(CPP)のいずれかを選択します(次のセクションを参照)。

詳細については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」の章、または VPN 3000 Concentrator Network Manager のオンライン ヘルプを参照してください。


 

CPP 用 Cisco Integrated Client Firewall(CIC)の設定


ステップ 1 Firewall Setting の Client FW タブで、 Firewall Required を選択します。

ステップ 2 Firewall プルダウン メニューで、 Cisco Integrated Client Firewall を選択します。

ステップ 3 Firewall Policy で Policy Pushed をクリックし、ファイアウォール ポリシーのルールを含むフィルタを選択します。デフォルトのファイアウォール フィルタ、または特別の目的のために設定されたフィルタを選択できます(「CPP 用のファイアウォールで使用するフィルタとルールの指定」 を参照)。


 

クライアント/サーバ ファイアウォール:Zone Labs Integrity の設定


ステップ 1 Integrity Server(IS)上でファイアウォール ポリシーを設定します(Zone Labs のマニュアルを参照)。

ステップ 2 VPN Concentrator 上で、Configuration | System | Servers | Firewall Server の順に選択します。Zone Labs Integrity Server に対して、ホスト名(または IP アドレス)およびポート番号を入力します。

ステップ 3 Configuration | User Management | Base Group、または Groups | Client FW タブ(「CPP 用のファイアウォールで使用するフィルタとルールの指定」を参照)で、次のように設定します。

a. Firewall Setting = Firewall Required

b. Firewall = Zone Labs Integrity

c. Firewall Policy = Policy from Server

ステップ 4 設定を保存します。


 

カスタム ベンダー コード

VPN 3000 Concentrator では、カスタム ファイアウォールを設定できます。現在、VPN Concentrator のメニューから選択できない、サポートされていないファイアウォール設定があります。この機能は、主に将来の使用に備えています。次の表には、現在サポートされているベンダー コード、および製品をリストしてあります。

 

表 1-2 カスタム ベンダー コードと製品コード

ベンダー
ベンダー コード
製品
製品コード

Cisco Systems

1

Cisco Integrated Client(CIC)

1

Zone Labs

2

Zone Alarm

1

ZoneAlarm Pro

2

Zone Labs Integrity

3

NetworkICE

3

BlackIce Defender

1

Sygate

4

Sygate Personal Firewall

1

Sygate Pro

2

Sygate Security Agent

3

Cisco

5

Cisco Intrustion Prevention
Security Agent

1

ファイアウォールのトラブルシューティング情報の入手

ここでは、ファイアウォール ネゴシエーションについての情報を入手する 2 つの方法(IPSec Log または VPN Concentrator からの通知)を説明します。

IPSec Log の調査

VPN Client と VPN Concentrator 間のトンネル ネゴシエーションで何が発生したかを知る 1 つの方法は、VPN Client の IPSec ログのメッセージを調査することです。そのためには、Log Viewer を使用します(Log Viewer の使用に関する情報については、『VPN Client ユーザ ガイド Windows 版』の第 5 章を参照)。トンネル ネゴシエーションの間に、VPN Client は、PC にインストールされ動作しているファイアウォールがあれば、そのリストを VPN Concentrator に送り、ファイアウォールの交換を開始します。次に VPN Concentrator は、VPN Concentrator 自体のファイアウォール要件を示すメッセージを VPN Client に送信します。

次にこのファイアウォール交換の例を示します。

最初に、VPN Client から VPN Concentrator への要求の例を示します。

 

次に、VPN Concentrator からの応答の例を示します。

 

通知

VPN Client と VPN Concentrator のファイアウォールの設定が一致しない場合、VPN Concentrator は、VPN Client ユーザが接続を試みるときに VPN Client に通知します。ファイアウォールの設定が必須な場合、その接続の試みは失敗し、ファイアウォールの設定が任意であれば、トンネルは完成します。

図 1-4 ファイアウォールの不一致の通知

 

リモート ユーザへの Client アップデートの通知

ネットワーク管理者は、VPN Client ユーザのリモート システム上の VPN Client をアップデートする必要があるときは、その旨をユーザに通知できます。この通知には、最新版の Client が存在する場所の情報が含まれます(アップデートは、自動的には行われません)。VPN 3000 Concentrator の Client Update を使用して Client の通知を設定する手順は、次のとおりです。


ステップ 1 Client のアップデートを有効にするには、Configuration | System | Client Update で、 Enable をクリックします。

ステップ 2 Configuration | System | Client Update | Enable 画面で、 Enabled (デフォルト)にチェックマークを付けてから、 Apply をクリックします。

ステップ 3 Configuration | System | Client Update 画面で、 Entries をクリックします。

ステップ 4 Entries 画面で、 Add をクリックします。

ステップ 5 Client Type に対して、通知対象の次のオペレーティング システムを入力します。

Windows には、すべての Windows ベース プラットフォームが含まれます。

Win9X には、Windows 95、Windows 98、および Windows ME プラットフォームが含まれます。

WinNT には、Windows NT 4.0、Windows 2000、および Windows XP プラットフォームが含まれます。

Linux

Solaris

Mac OS X


) VPN 3000 Concentrator は、Client Update リスト内の各エントリに個別に通知メッセージを送信します。したがって、Client アップデート エントリは重複させないでください。たとえば、値 Windows にはすべての Windows プラットフォームが含まれ、値 WinNT には Windows NT 4.0、Windows 2000、および Windows XP プラットフォームが含まれているため、Windows WinNT の両方を指定しないでください。Client のタイプとバージョンの情報を表示するには、Cisco Systems VPN Client メイン ウィンドウの左上にある錠のアイコンをクリックし、[VPN Client について](Windows 版)、またはAbout VPN Client(Mac 版)を選択してください。


ステップ 6 URL フィールドに、通知が含まれている URL を入力します。

[VPN Client 通知]の[起動]ボタン(Windows 版)、または VPN Client Notification の Launch ボタン(Mac 版)をアクティブにするには、HTTP または HTTPS のいずれかのプロトコル、およびアップデートされた Client が存在するサイトのサーバ アドレスがメッセージに含まれている必要があります。このメッセージには、アップデートされた Client のディレクトリとファイル名も含めることができます(たとえば、 http://www.oz.org/upgrades/clientupdate )。リモート ユーザに対して[起動]ボタン(Windows 版)、または Launch ボタン(Mac 版)をアクティブにしない場合は、メッセージにプロトコルを含める必要はありません。

Revisions フィールドに、すでに最新のソフトウェアを使用しているためアップデートする必要がない Client のバージョンを、コンマで区切って入力します。たとえば、値「3.6.5(Rel), 4.0(Rel 」で指定されたリリースではアップデートが不要ですが、その他のリリースの VPN Client は、アップデートする必要があります。

ステップ 7 Add をクリックします。


 

Windows 版では、リモート ユーザが最初に VPN 装置に接続したとき、またはユーザが接続状況のメニューの[通知]をクリックしたときに、[通知]ダイアログボックスが表示されます。Mac 版では、リモート ユーザが最初に VPN 装置に接続したとき、またはユーザが接続状況のメニューの Notifications をクリックしたときに、Notification ダイアログボックスが表示されます。通知が表示されたら、VPN Client 上で[通知]ダイアログボックスの[起動](Windows 版) または Notification ダイアログボックスの Launch (Mac 版)をクリックして、デフォルト ブラウザを起動し、アップデートされたクライアントが存在する URL にアクセスします。

VPN Client 用のローカル LAN アクセスの設定

ケーブルまたは DSL を使用して自宅からアクセスするリモート ユーザは、ホーム ネットワークを使用してファイルとプリンタを共有している場合があります。ネットワーク管理者は、リモート ユーザが(IPSec トンネル経由で)中央サイトへのセキュア接続を維持しつつ、クライアント側の LAN 上のリソ-スにアクセスできるようローカル LAN アクセスを設定できます。

設定を開始する前に、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Split Tunneling」をよく読んでください。Configuration | User Management | Groups | Add または Modify | IPSec タブについて説明しているセクションを参照してください。

ローカル LAN アクセスの設定の一般的な手順は、次のとおりです。

VPN Client 上でローカル LAN アクセスを有効にする。

VPN 3000 Concentrator 上の特定のグループ内で、ローカル LAN アクセスを有効にする。

アクセス可能なネットワークをネットワーク リストに追加する(または、デフォルトのネットワーク アドレスを使用する)。

VPN Client 用に Entrust Entelligence を設定する手順は、次のとおりです。


ステップ 1 VPN Client で、[ローカル LAN アクセスの許可](Windows 版)、または Allow Local LAN Access(Mac 版)を有効にします。

接続エントリを作成または修正しているときに、[トランスポート]タブ(Windows 版)、または Transport タブ(Mac 版)を表示し、[ローカル LAN アクセスの許可](Windows 版)、または Allow Local LAN Access (Mac 版)にチェックマークを付けます。

図 1-5 VPN Client での[ローカル LAN アクセスの許可](Windows 版)、または Allow Local LAN Access(Mac 版)の設定

 

ステップ 2 VPN 3000 Concentrator 上で、次の手順で新しいグループを追加するか、既存のグループを変更します。

a. 特定のグループのローカル LAN アクセスを設定するには、Configuration | User Management | Groups を表示します。

b. 新しいグループを追加するには、 Add を選択します。既存のグループに対してローカル LAN を使用可能にするには、 Modify を選択します。

c. Client Config タブを表示します。

d. Split Tunneling Policy 属性の Value で、 Tunnel everything オプション ボタンをクリックし、次に Allow the networks in list to bypass the tunnel をクリックします。これで、VPN Client 上でローカル LAN アクセスが使用可能になります。

e. Split Tunneling Network List の Value で、ローカル LAN アクセス用に作成したネットワーク リストがある場合は、そのネットワーク リストを選択します。

VPN Client Local LAN がデフォルトで、アドレス 0.0.0.0/0.0.0.0 が割り当てられます。この IP アドレスを使用して、そのネットワーク上で設定されたネットワーク アドレスとは関係なく、クラアイアント側の LAN 上のすべてのホストにアクセスできます。このローカル LAN アクセスは、1 つのローカル ネットワークだけに限定されているため、クライアント PC で複数のネットワーク カードを使用している場合は、VPN Client が VPN 接続を確立したネットワークにしかアクセスできません。

ネットワーク リストの作成については、『VPN 3000 シリーズ コンセントレータ リファレンス
I:コンフィギュレーション』の「Configuration | Policy Management | Traffic Management | Network Lists」を参照してください。


) VPN Client の接続が確立され、ローカル LAN アクセス用に設定されると、ローカル LAN 上で名前を使用して印刷したり、ブラウズしたりできません。VPN Client の接続が解除されると、名前を使用した印刷またはブラウズが可能になります。

IP アドレスを使用したブラウズや印刷は可能です。印刷の際に、ネットワーク プリンタのプロパティを変更して、名前の変わりに IP アドレスを使用するようにできます。たとえば、構文
\\sharename\printername の代わりに、\\x.x.x.x\printername を使用します(ここで、x.x.x.x は IP アドレスです)。

名前を使用して印刷またはブラウズするために、LMHOSTS ファイルを使用できます。このファイルを使用するには、LMHOSTS という名前のテキスト ファイルに、IP アドレスとローカル ホスト名を追加し、そのファイルをすべてのローカル PC の \Windows ディレクトリに保存します。PC の TCP/IP スタックは、印刷またはブラウズ時に、LMHOSTS ファイル内での IP アドレスとホスト名とのマッピングを使用して名前を解決します。この方法では、すべてのローカル ホストにスタティック IP アドレスが必要です。また、DHCP を使用する場合は、常に同じ IP アドレスを取得するようにローカル ホストを設定する必要があります。

LMHOSTS ファイルの例は、次のとおりです。
192.168.1.100 MKPC
192.168.1.101 SBPC
192.168.1.101 LHPC


Client Backup Server 用の VPN Concentrator の設定

ここでは、VPN Concentrator 上でグループを設定し、バックアップ サーバの新しい情報を VPN クライアントに自動的にプッシュする方法を説明します。


ステップ 1 VPN Concentrator 上で Configuration | User Management | Group の順に選択します。

ステップ 2 新しいグループを追加するには、 Add をクリックし、既存のグループを変更するには、ボックス内のそのグループを強調表示して、 Modify をクリックします。

ステップ 3 Client Config タブを表示します。

ステップ 4 IPSec Backup Servers に対しては、ドロップダウン メニューから Use List Below を選択します。

ステップ 5 優先順位の高いものから順に、最高 10 までの IPSec バックアップ サーバのリストを入力します。

ステップ 6 IPSec Backup Servers ボックス内に各サーバのアドレス、または名前を 1 行で入力します。

ステップ 7 Apply をクリックし、設定を保存します。


 

VPN Client 用の NAT Traversal の設定

NAT Traversal(NAT-T)は、VPN Concentrator と VPN Client との間に NAT 装置があるときに、VPN Concentrator が VPN Client との IPSec トンネルを確立できるようにします。これは UDP データグラム内に ESP トラフィックをカプセル化することによって実現され、NAT 装置が要求するポート情報が ESP に提供されます。

ネットワーク管理者は、VPN Concentrator 上で NAT-T をグローバルに設定できます。これによって、VPN Concentrator 上で設定されたすべてのグループに対して、NAT-T をアクティブにできます。

グローバル設定

NAT-T をグローバルに設定するには、VPN Concentrator 上で次の手順を実行します。


ステップ 1 Configuration | System | Tunneling Protocols | IPSec | NAT Transparency の順に選択し、 IPSec over NAT-T チェック ボックスにチェックマークを付けます。

ステップ 2 Apply をクリックし、設定を保存します。


 

次に VPN Client 上で次のパラメータを設定します。


ステップ 1 新しい接続エントリを作成する場合は、[接続エントリ]の[新規](Windows 版)、または Connection Entries の New (Mac 版)をクリックします。既存の接続エントリを修正するには、そのエントリを強調表示して、[修正](Windows 版)、または Modify (Mac 版)をクリックします。いずれの場合も、プロパティ ダイアログボックスが表示されます。

ステップ 2 [トランスポート]タブ(Windows 版)、または Transport タブ(Mac 版)を開きます。

ステップ 3 [透過的トンネリングを有効にする]チェックボックス(Windows 版)、または Enable Transparent Tunneling チェックボックス(Mac 版)にチェク マークを付けます。

ステップ 4 [IPSec over UDP(NAT/PAT)]オプション ボタンをクリックします。


 

VPN Client 用の Entrust Entelligence の設定:Windows の場合

ここでは、VPN Client をセットアップして、Entrust Entelligence にアクセスし、Entrust ID 証明書を取得する方法について説明します。また、VPN Client を Entrust と連携させて使用する場合の情報も記載してあります。Entrust のインストールと設定については、Entrust のマニュアル(『Entrust Entelligence Quick Start Guide』、または Entrust Entelligence オンライン ヘルプ)を参照してください。

VPN Client 用に Entrust Entelligence を設定する手順は、次のとおりです。


ステップ 1 Entrust Entelligence をリモート ユーザの PC にインストールします。

Entrust Entelligence をインストールした後に、VPN Client をインストールしてください。VPN Client で Start before Logon と Entrust SignOn を同時に使用するときのために、この順序でインストールしておくことが重要です。これら 2 つの機能が両方とも VPN Client 上で設定されているときに発生する現象の情報については、『VPN Client ユーザ ガイド Windows 版』の第 5 章を参照してください。

ステップ 2 Entust Entelligence のインストール中に、Create Entrust Profile Wizard を使用して新しい Entrust プロファイルを作成します。

Entrust Entelligence プロファイルを作成するには、次の情報が必要です。

Entrust Entelligence 参照番号

Entrust Entelligence 許可コード

プロファイルを保存するディレクトリの名前

プロファイルの名前

Entrust 管理者が設定する規則に従ったパスワード

ステップ 3 オプションとして、Entrust のマニュアルの指示に従って Entrust SignOn をインストールします。

a. Entrust SignOn のインストール中に、Entrust Options ダイアログボックスが表示されます(図 1-6 を参照)。

b. Always prompt me to confirm this login information にチェックマークが付いていることを確認します。このチェック ボックスにチェックマークを付けると、Entrust SignOn login ダイアログボックスが一時停止して、リモート ユーザが NT ログオン情報を入力する前に VPN 接続が確立されます。

図 1-6 Entrust Options SignOn タブ

 

 

ステップ 4 プロファイルの作成後、Entrust Entelligence からログアウトします。

ステップ 5 VPN Client をインストールします。

ステップ 6 Entrust 証明書を使用した認証を含む、新しい接続エントリを作成します。接続エントリの作成方法については、『VPN Client ユーザ ガイド Windows 版』の第 4 章の「認証用の Entrust 証明書の設定」のセクションを参照してください。


 


) VPN Client では、最新の Entrust DLL ファイルが使用されます。このファイル名は kmpapi32.dll です。Entrust Entelligence バージョン 5.1 を使用している場合、DLL ファイルは最新です。VPN Client システムにバージョン 4.0 または 5.0 がインストールされている場合、DLL ファイルは最新ではありません。

VPN Client の[証明書]メニューに「Entelligence Certificate(Entrust)」が表示されてない場合は、VPN Client に付属の DLL ファイルが最新バージョンではない可能性があります。kmpapi32.dll ファイルを更新するには、そのファイルをリリース メディアから VPN Client システムにコピーし、Windows のデフォルトのシステム ディレクトリに保存します。Windows NT、Windows 2000、および Windows XP システムの場合、このディレクトリは c:\WinNT\System32 です。Windows 9x および Windows ME の場合、このディレクトリは \Windows\System です。


スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

VPN Client は、スマート カード上に保存された証明書を使用した認証をサポートします。VPN Client ユーザは、接続エントリを作成し、認証用の証明書を選択した後、スマート カードをカード リーダーに挿入する必要があります。VPN Client 接続が開始されると、ユーザは、スマート カードにアクセスするための PIN、またはパスコードを入力するように求められます。秘密鍵はスマート カード上に存在し、PIN またはパスコードを入力しないとアクセスできません。また、ほとんどのケースでは、PIN やパスコードの入力試行回数に制限があり、その回数を超えるとカードがロックされます。

本書では、すべてのスマート カード ベンダーの製品について、VPN Client 認証の設定方法を説明しているわけではありません。認証の設定方法の情報については、スマート カード ベンダーの説明書を参照してください。

一般的な設定手順は、次のとおりです。


ステップ 1 Web ベースの証明書登録を実行しているときは、Key Options のプルダウン メニューからスマート カード プロバイダーを選択します。

ステップ 2 キー使用に対しては、 Signature を選択し、 Create new key set が選択されていることを確認します。

ステップ 3 証明書をインストールします。キーがスマート カード上に生成され、使用している PC 上の
Microsoft ストアに証明書のコピーが保存され、VPN Client の[証明書]タブにリストされます。

ステップ 4 [接続エントリ]>[修正]を選択し、表示されるダイアログボックスで以下の操作を行います。

a. [認証]タブを開き、[証明書の認証]オプション ボタンにチェックマークを付けます。

b. [名前]ドロップダウン メニューを表示して、スマートカード証明書をクリックします。


 

この状態では、VPN Client のユーザは、PC の適切なポートに取り付けられたリーダーにスマートカードが挿入され、ユーザが正しい PIN またはパスコードを入力したときにだけ、認証を完了させることができます。


) ほとんどのベンダー製品では、スマート カードが挿入されていないときにも、証明書が[証明書]タブに表示されます。しかし、Aladdin の e-token では、接続が切断されると、リストから証明書が削除されます。e-token が挿入されアクティブのときにだけ、証明書がリストに表示されます。